Resolutie van het Europees Parlement van 12 maart 2014 over de regionale rol van Pakistan en zijn politieke betrekkingen met de EU (2013/2168(INI))

P7_TA(2014)0208 A7-0117/2014

Het Europees Parlement,

–  gezien de artikelen 2 en 21 van het Verdrag betreffende de Europese Unie (VEU) en gezien het Verdrag betreffende de werking van de Europese Unie (VWEU),

–  gezien het vijfjarig inzetplan EU-Pakistan van februari 2012(1),

–  gezien het strategisch kader en het actieplan van de Europese Unie voor mensenrechten en democratie (11855/2012), die op 25 juni 2012 door de Raad Buitenlandse Zaken zijn goedgekeurd(2),

–  gezien de Europese veiligheidsstrategie (EVS) getiteld "Een veilig Europa in een betere wereld", die op 12 december 2003 door de Europese Raad is aangenomen, en gezien het verslag over de tenuitvoerlegging van de EVS getiteld "Veiligheid in een veranderende wereld", dat op 11 en 12 december 2008 is aangenomen door de Europese Raad,

–  gezien Verordening (EU) nr. 978/2012 van het Europees Parlement en de Raad van 25 oktober 2012 houdende toepassing van een schema van algemene tariefpreferenties(3), die met name voorziet in een bijzondere stimuleringsregeling voor "duurzame ontwikkeling en goed bestuur" ("SAP+"),

–  gezien bijlage VIII bij bovenstaande verordening waarin de VN/IAO-verdragen betreffende de fundamentele mensen- en arbeidsrechten zijn opgenomen, evenals de beginselen die verband houden met het milieu en goed bestuur, die Pakistan heeft geratificeerd en heeft beloofd daadwerkelijk ten uitvoer te zullen leggen,

–  gezien de conclusies van de Raad Buitenlandse Zaken over Pakistan van 11 maart 2013,

–  gezien zijn resolutie van 7 februari 2013 over de recente aanslagen op medische hulpverleners in Pakistan(4), zijn standpunt van 13 september 2012 over het voorstel voor een verordening van het Europees Parlement en de Raad tot invoering, als noodmaatregel, van autonome handelspreferenties voor Pakistan(5), en zijn standpunt van 15 december 2011 over de situatie van vrouwen in Afghanistan en Pakistan(6), alsmede het bezoek aan Pakistan van een delegatie van zijn Subcommissie mensenrechten in augustus 2013,

–  gezien het verslag van de speciale VN-rapporteur voor de bevordering en bescherming van mensenrechten en fundamentele vrijheden, Ben Emmerson, van 18 september 2013, en het verslag van de speciale VN-rapporteur inzake buitengerechtelijke, standrechtelijke en willekeurige executies, Christof Heyns, van 13 september 2013,

–  gezien Resolutie 68/178 van de Algemene Vergadering van de VN van 18 december 2013 betreffende de bescherming van mensenrechten en fundamentele vrijheden bij terrorismebestrijding,

–  gezien artikel 48 van zijn Reglement,

–  gezien het verslag van de Commissie buitenlandse zaken en het advies van de Commissie ontwikkelingssamenwerking (A7‑0117/2014),

A.  overwegende dat de strategische rol van Pakistan in de regio, zijn betrekkingen met de buurlanden en de betrekkingen tussen de EU en Pakistan van aanzienlijk en steeds groter belang zijn voor de EU, gezien de centrale ligging van Pakistan in het hart van een instabiele regio, zijn centrale rol ten aanzien van de veiligheid en ontwikkeling in Centraal- en Zuid-Azië, en zijn cruciale functie bij de bestrijding van terrorisme, de verspreiding van massavernietigingswapens, drugshandel en andere grensoverschrijdende bedreigingen, die allemaal van invloed zijn op de veiligheid en het welzijn van Europese burgers;

B.  overwegende dat de parlementsverkiezingen in mei 2013 de eerste machtsoverdracht van de ene gekozen burgerregering naar de andere in de moderne geschiedenis van Pakistan markeerden; overwegende dat het democratische proces in Pakistan wordt versterkt door andere maatschappelijke veranderingen, zoals een groeiende middenklasse in de steden, een steeds levendiger maatschappelijk middenveld en onafhankelijke media;

C.  overwegende dat de politieke en economische vooruitgang van het land wordt belemmerd door diepgaande interne en regionale veiligheidsproblemen, zoals extremisme, sektarische conflicten, zelfmoordaanslagen, gerichte moorden en straffeloosheid in tribale gebieden, die nog worden verergerd door de zwakte van wetshandhavingsinstanties en het strafrechtsysteem;

D.  overwegende dat Pakistan tot de landen behoort met het grootste aantal niet-opgeleiden, waarbij naar schatting 12 miljoen kinderen niet naar school gaan en ongeveer twee derde van de Pakistaanse vrouwen en de helft van de Pakistaanse mannen analfabeet is; overwegende dat het land nog steeds de 134e positie inneemt van de 135 landen in het genderkloofverslag van het Economisch Wereldforum;

E.  overwegende dat Pakistan volgens de mondiale klimaatrisico-index tot de twaalf landen behoort die in de afgelopen twintig jaar het zwaarst zijn getroffen door klimaatverandering, te kampen heeft gehad met ernstige overstromingen en watertekorten en de directe gevolgen ondervindt van de terugtrekking van de gletsjers in het Himalaya- en het Karakorum-gebergte;

F.  overwegende dat Pakistan een semi-geïndustrialiseerd land is met middellage inkomens waar ongeveer een derde van de bevolking onder de armoedegrens leeft; overwegende dat Pakistan op plaats 146 stond van de 187 landen op de index van de menselijke ontwikkeling (HDI, human development index) van 2012, en gezakt is van plaats 145 in 2011; overwegende dat de economische situatie van Pakistan aan het wankelen is gebracht door elkaar opvolgende natuurrampen, en overwegende dat de economische groei van het land wordt verzwakt en het vermogen van de regering om het land te ontwikkelen wordt beperkt door een grote mate van onveiligheid, instabiliteit en wijdverbreide corruptie;

G.   overwegende dat Pakistan kwetsbaar is voor een groot aantal gevaren, voornamelijk overstromingen en aardbevingen; overwegende dat de instabiele veiligheidssituatie, samen met de sociale uitdagingen waar Pakistan voor staat, als katalysatoren werken en deze kwetsbaarheid vergroten; overwegende dat opeenvolgende jaren van natuurrampen een zware wissel hebben getrokken op de overlevingsstrategieën van de toch al arme gemeenschappen en hun veerkracht om toekomstige rampen op te vangen aanzienlijk hebben gereduceerd;

H.  overwegende dat de constructieve bijdrage van Pakistan van essentieel belang is voor verzoening, vrede en politieke stabiliteit in de buurlanden en met name in Afghanistan, in het bijzonder in het kader van de voor 2014 geplande terugtrekking van de NAVO-troepen;

I.  overwegende dat Pakistan een van de grootste ontvangers van EU-ontwikkelings- en humanitaire hulp is en dat de EU de grootste uitvoermarkt van Pakistan is;

J.  overwegende dat Pakistan een steeds belangrijker partner van de EU wordt in de bestrijding van terrorisme, nucleaire proliferatie, mensen- en drugshandel, en georganiseerde misdaad alsook bij het streven naar regionale stabiliteit;

K.  overwegende dat de EU en Pakistan onlangs hebben besloten om hun bilaterale betrekkingen te verdiepen en te verbreden, zoals blijkt uit het in februari 2012 gepresenteerde vijfjarige inzetplan en uit de eerste strategische dialoog EU-Pakistan van juni 2012;

L.  overwegende dat het vijfjarig inzetplan EU-Pakistan van 2012 ten doel heeft strategische betrekkingen op te bouwen en een partnerschap voor vrede en ontwikkeling te smeden dat geworteld is in gedeelde waarden en principes;

M.  overwegende dat Pakistan sinds 1 januari 2014 deel uitmaakt van het bijzondere stelsel van algemene handelspreferenties van de EU (SAP+);

N.  overwegende dat de fabriek van Ali Enterprises, waar spijkerbroeken voor de Europese markt worden geproduceerd, in september 2012 werd verwoest door een brand die leidde tot de dood van 286 opgesloten werknemers; overwegende dat de opneming van Pakistan in de SAP+-regeling de productie van de textielsector kan stimuleren en verbeteringen van de arbeidsrechten en de productieomstandigheden steeds belangrijker kan maken;

1.  onderstreept de grote betekenis van de verkiezingen van mei 2013 voor de consolidatie van de democratie en het burgerlijk bestuur in Pakistan; spoort de Pakistaanse politieke elite aan gebruik te maken van dit momentum om de democratische instellingen, de rechtsstaat en de civiele controle op alle terreinen van het openbaar bestuur en met name op de veiligheidstroepen en de rechterlijke macht, verder te versterken, de interne en regionale veiligheid te bevorderen, overheidshervormingen door te voeren waarmee de economische groei kan worden gestimuleerd, transparantie en de bestrijding van georganiseerde misdaad kunnen worden versterkt, sociaal onrecht kan worden verzacht en alle mensenrechtenschendingen kunnen worden beëindigd;

2.  is evenwel van mening dat de opbouw van een duurzame democratie en een pluralistische samenleving, evenals het vergroten van de sociale gerechtigheid, de uitroeiing van ernstige armoede en ondervoeding in delen van het land, het verhogen van het basisniveau van het onderwijs en de voorbereiding van Pakistan op de effecten van de klimaatverandering verregaande en moeilijke hervormingen met zich mee zullen brengen van het politieke en sociaaleconomische bestel in Pakistan, dat nog altijd wordt gekenmerkt door feodale structuren in het landbezit en de politieke voorkeuren, door onevenwichtige prioriteiten ten aanzien van militaire uitgaven enerzijds en sociale voorzieningen, onderwijs en economische ontwikkeling anderzijds, en door een disfunctionerend belastinginningssysteem dat het vermogen van de staat om publieke voorzieningen te leveren systematisch ondergraaft;

3.  ondersteunt de Pakistaanse regering en spoort haar inspanningen aan om doeltreffende manieren te ontwikkelen om mogelijke toekomstige natuurrampen te voorkomen en te monitoren en om de coördinatie en samenwerking met lokale actoren, internationale ngo's en fondsenwervers op het gebied van humanitaire hulp effectiever te laten verlopen;

4.  herhaalt dat goed bestuur, verantwoordelijke en inclusieve instituties, een scheiding van de machten en eerbiediging van de grondrechten belangrijke aspecten zijn bij het inspelen op het verband tussen veiligheid en ontwikkeling in Pakistan; is voorts van oordeel dat legitieme, democratisch gekozen burgerregeringen, overdracht van bevoegdheden naar de provincies en een doeltreffend lokaal bestuur de beste middelen zijn om de golf van geweld en extremisme in te dammen, het overheidsgezag in de federaal bestuurde tribale gebieden te herstellen, en de soevereiniteit en territoriale integriteit van Pakistan te waarborgen;

5.  ondersteunt in dit kader de poging van de Pakistaanse regering een vreedzame dialoog aan te knopen met Tehreek-e-Taliban Pakistan (TTP), indien dit de weg vrijmaakt voor een politieke en duurzame oplossing voor de opstanden en voor een stabiele democratische orde die de mensenrechten eerbiedigt; roept de onderhandelaars echter op om rekening te houden met het feit dat het niveau van onderwijs, met name onder vrouwen, van doorslaggevend belang is voor de vooruitgang van samenlevingen, en om onderwijs voor meisjes een belangrijk onderdeel te laten zijn van de onderhandelingen;

6.  waardeert dat Pakistan zich blijft toeleggen op de bestrijding van terrorisme aan weerskanten van de grens, en spoort de autoriteiten aan krachtigere maatregelen te treffen om de mogelijkheden voor de werving en opleiding van terroristen op Pakistaans grondgebied, die delen van Pakistan tot een veilig toevluchtsoord maken voor terroristische organisaties die het land en de regio en vooral Afghanistan willen destabiliseren, verder te beperken;

7.  neemt kennis van het feit dat de Pakistaanse Talibanleider Hakimullah Mehsud op 1 november 2013 werd gedood door een vanuit de VS aangestuurde drone, en merkt op dat het parlement en de nieuwe regering van Pakistan zich formeel tegen dergelijke interventies hebben uitgesproken en dat de beperkingen op het gebruik van drone-aanvallen duidelijker moeten worden ingekaderd in het internationaal recht;

8.  verzoekt de Pakistaanse regering haar veiligheidsverplichtingen en ‑verantwoordelijkheden na te komen door zich intensiever in te zetten voor de strijd tegen extremisme, terrorisme en radicalisering, met behulp van strenge en onwrikbare veiligheidsmaatregelen en ordehandhaving, en door ongelijkheid en sociaaleconomische problemen waardoor de radicalisering van de Pakistaanse jeugd waarschijnlijk verder wordt aangewakkerd aan te pakken;

9.  merkt op dat de Pakistaanse regering zich duidelijk heeft uitgesproken tegen de aanvallen met Amerikaanse drones op Pakistaans grondgebied; is ingenomen met de resolutie van de Algemene Vergadering van de VN die oproept tot nadere verduidelijking van het rechtskader dat van toepassing is op het gebruik van bewapende drones;

10.  is ingenomen met de bijdrage van Pakistan aan staatsopbouw- en verzoeningsprocedures in Afghanistan, zoals de geleverde bijstand om de heropening van de vredesbesprekingen te bevorderen; verwacht dat Pakistan deze positieve houding zal vasthouden in de aanloop naar de Afghaanse presidentsverkiezingen en daarna; is bezorgd over de geopolitieke concurrentie tussen naburige mogendheden om invloed in Afghanistan na de terugtrekking van de NAVO-troepen;

11.  hoopt dat Pakistan een constructieve rol zal spelen bij de bevordering van regionale stabiliteit, onder meer met betrekking tot de aanwezigheid van de NAVO en EU-lidstaten in Afghanistan na 2014, door het trialoogmodel van betrokkenheid bij Afghanistan met India, Turkije, China, Rusland en het Verenigd Koninkrijk verder te stimuleren, en door bij te dragen tot de regionale samenwerking in de strijd tegen mensenhandel en de handel in drugs en illegale goederen;

12.  is verheugd over de recente tastbare vorderingen in de dialoog tussen Pakistan en India, met name wat betreft de handelsbetrekkingen en intermenselijke contacten, mogelijk gemaakt door de constructieve houding van beide partijen; betreurt dat de via de dialoog verwezenlijkte successen kwetsbaar blijven voor onverwachte voorvallen, zoals de aanhoudende incidenten bij de Line of Control (bestandslijn) die de door Pakistan en de door India bezette gebieden van Kasjmir van elkaar scheidt; verzoekt beide regeringen toe te zien op een passende commandostructuur, de verantwoordingsplicht van militairen en een dialoog tussen de strijdkrachten onderling, om vergelijkbare incidenten in de toekomst te voorkomen;

13.  erkent dat Pakistan een legitiem belang heeft bij het opbouwen van strategische, economische en energiebetrekkingen met China; acht het van groot belang dat nauwere banden tussen China en Pakistan de geopolitieke stabiliteit in Zuid-Azië versterken;

14.  beschouwt het streven van Pakistan om volwaardig lid te worden van de Shanghai Samenwerkingsorganisatie (SCO) als een positief signaal van de ambitie van Pakistan om meer betrokken te raken bij multilaterale initiatieven; wijst evenwel op het ontbreken van een formeel samenwerkingsmechanisme tussen de SCO en de EU en op de verschillen in hun respectieve normatieve fundamenten en opvattingen over mondiale vraagstukken;

15.  is bezorgd over berichten dat Pakistan zou overwegen kernwapens te exporteren naar derde landen; verwacht van de EU en haar lidstaten dat zij, ondanks officiële ontkenningen van deze berichten, Pakistan duidelijk maken dat de uitvoer van kernwapens onaanvaardbaar is; dringt er bij Pakistan, als kernmacht, op aan een wettelijk verbod uit te vaardigen op de uitvoer van alle kennis of materiaal met betrekking tot kernwapens en om actief bij te dragen tot internationale inspanningen op het gebied van non-proliferatie; is van mening dat de ondertekening en ratificatie van het non-proliferatieverdrag door zowel Pakistan als India zouden getuigen van een krachtige inzet voor vreedzame regionale co‑existentie en in grote mate zouden bijdragen tot de veiligheid van de regio als geheel;

16.  is van mening dat de strijd tegen extremisme en radicalisme rechtstreeks verband houdt met krachtigere democratiseringsprocessen en geeft nogmaals uiting aan de sterke gehechtheid en de aanhoudende steun van de EU aan en voor een democratisch, veilig en goed bestuurd Pakistan met een onafhankelijk rechtsstelsel, dat de rechtsstaat en de mensenrechten hoog in het vaandel draagt, vriendelijke betrekkingen met buurlanden onderhoudt en een stabiliserende invloed op de regio heeft;

17.  herinnert eraan dat de betrekkingen tussen de EU en Pakistan zich van oudsher hebben ontwikkeld binnen een op ontwikkeling en handel gericht kader; waardeert de aanzienlijke en aanhoudende bijdragen van de EU in het kader van de humanitaire en ontwikkelingssamenwerking, en is ingenomen met het besluit om Pakistan vanaf 2014 op te nemen in de SAP+-regeling van de EU; dringt er bij Pakistan op aan de desbetreffende hieraan verbonden voorwaarden volledig na te komen en verzoekt de Commissie te garanderen dat er op strikte wijze aangescherpt toezicht wordt gehouden, zoals voorzien in de nieuwe SAP-verordening; onderstreept dat samenwerking, met name op het gebied van onderwijs, opbouw van de democratie en aanpassing aan de klimaatverandering, het voornaamste aandachtspunt moet blijven;

18.  is groot voorstander van nauwere en meer alomvattende betrekkingen tussen de EU en Pakistan via de ontwikkeling van een politieke dialoog teneinde betrekkingen van wederzijds belang te onderhouden tussen gelijkwaardige partners; is in dit kader ingenomen met het vijfjarig inzetplan en de aanvang van de strategische dialoog EU‑Pakistan, die ook blijk geven van de grotere nadruk op politieke en veiligheidssamenwerking, ook op het gebied van terrorismebestrijding, ontwapening, non-proliferatie, migratie, onderwijs en cultuur; verwacht echter grotere vorderingen op alle gebieden die het inzetplan beslaat;

19.  spoort zowel de EU als Pakistan aan samen te werken bij het uitvoeringsproces en bij de regelmatige monitoring van de vorderingen door de onderlinge dialoog op de lange termijn te versterken;

20.  is van mening dat de overgang van Pakistan naar democratie een goede gelegenheid voor de EU heeft gecreëerd om een meer uitgesproken politieke benadering te hanteren ten aanzien van de bilaterale betrekkingen en de verlening van steun; is van mening dat de prioriteit van de EU-steun aan Pakistan moet liggen bij de consolidatie van de democratische instituties op alle niveaus, de versterking van de overheidscapaciteit en van goed bestuur, de opbouw van doeltreffende voorzieningen op het gebied van rechtshandhaving en civiele terrorismebestrijding, met inbegrip van een onafhankelijke rechterlijke macht, en het stimuleren van het maatschappelijk middenveld en vrije media;

21.  is in dit verband ingenomen met de reeds bestaande uitgebreide programma's voor de ondersteuning van de democratie in verband met de uitvoering van de aanbevelingen die in 2008 en 2013 zijn gedaan door de verkiezingswaarnemingsmissies van de EU;

22.  verzoekt de EDEO en de Commissie een genuanceerd en multidimensionaal beleid ten aanzien van Pakistan na te streven, dat synergieën creëert tussen alle relevante instrumenten die ter beschikking staan van de EU, zoals politieke dialoog, veiligheidssamenwerking, handel en bijstand, in overeenstemming met de alomvattende EU-benadering van extern beleid en met het oog op de voorbereidingen voor de volgende top EU-Pakistan;

23.  verzoekt de EDEO, de Commissie en de Raad er tevens voor te zorgen dat het EU-beleid ten aanzien van Pakistan in de context van een bredere strategie voor de regio wordt geplaatst en daarin wordt verankerd, om aldus de belangen van de EU in Zuid- en Centraal-Azië te versterken; acht het van belang dat de bilaterale betrekkingen van de EU met Pakistan en de buurlanden van Pakistan, in het bijzonder India, China en Iran, ook worden aangegrepen om beleidsmaatregelen ten aanzien van de situatie in Afghanistan te bespreken en te coördineren, teneinde een gerichte aanpak te waarborgen; benadrukt in dit opzicht de behoefte aan meer beleidscoördinatie en dialoog over regionale kwesties tussen de EU en de VS;

24.  is van oordeel dat de toekomst van de betrekkingen tussen de EU en Pakistan ook moet worden bezien in het kader van de zich ontwikkelende institutionele instrumenten voor betrokkenheid bij derde landen, met name in de vorm van strategische partnerschappen; dringt nogmaals aan op een conceptuele verfijning van het strategischepartnerschappenmodel, en op duidelijkere en consistentere criteria om, onder meer, te evalueren onder welke voorwaarden Pakistan op een bepaald moment een strategische partner van de EU zou kunnen worden;

25.  herhaalt met klem dat vorderingen in de bilaterale betrekkingen gekoppeld zijn aan de verbetering van de mensenrechtensituatie in Pakistan, met name wat betreft de uitbanning van schuldarbeid, kinderarbeid en mensenhandel, gendergerelateerd geweld, de verbetering van de rechten van vrouwen en meisjes, met inbegrip van toegang tot onderwijs, het waarborgen van de vrijheid van meningsuiting en onafhankelijke media, evenals de bevordering van verdraagzaamheid jegens en bescherming van kwetsbare minderheden door alle vormen van discriminatie doeltreffend te bestrijden; erkent dat hiertoe een einde moet komen aan de cultuur van straffeloosheid en een voor iedereen toegankelijk en op alle niveaus betrouwbaar rechtsstelsel moet worden ontwikkeld;

26.  blijft zeer verontrust over de kwaliteit van het onderwijs en, in samenhang daarmee, de alarmerende situatie van vrouwen in grote delen van Pakistan; pleit voor concrete en zichtbare maatregelen om de grondrechten van vrouwen in de samenleving te versterken, waaronder de invoering van wetgeving tegen huiselijk geweld en maatregelen om het onderzoeken en vervolgen van eermoorden en aanvallen met zuur te verbeteren, alsmede een herziening van wetgeving die straffeloosheid in de hand werkt; wijst op de noodzaak van betere toegang tot onderwijs, een betere integratie van vrouwen op de arbeidsmarkt, en betere zwangerschapszorg;

27.  herhaalt zijn ernstige bezorgdheid over het feit dat de Pakistaanse godslasteringswetten, die de doodstraf als gevolg kunnen hebben en die vaak gebruikt worden als excuus voor het censureren, criminaliseren, vervolgen en soms zelfs vermoorden van leden van politieke of religieuze minderheden, zich lenen voor misbruik waarvan aanhangers van elk geloof in Pakistan het slachtoffer kunnen worden; onderstreept dat de weigering om de godslasteringswetgeving te herzien of in te trekken een voortdurende situatie van kwetsbaarheid creëert voor minderheden; roept de Pakistaanse regering op een moratorium in te voeren op het gebruik van deze wetgeving, als een eerste stap naar de herziening of de intrekking ervan, en de intimidatiecampagnes, de bedreigingen en het geweld jegens christenen, ahmadi's en andere kwetsbare groepen te onderzoeken en de daders indien nodig te vervolgen;

28.  roept de Pakistaanse autoriteiten met name op om personen te arresteren en te vervolgen die aanzetten tot geweld, of die verantwoordelijk zijn voor gewelddadige aanvallen op scholen of minderheden, zoals de sjiieten, met inbegrip van de Hazara-gemeenschap, de ahmadi's en christenen, om de veiligheidstroepen te instrueren de mensen die worden aangevallen actief te beschermen tegen extremistische groepen, om wetgeving vast te stellen ter bestrijding van huiselijk geweld, en om een einde te maken aan de gedwongen verdwijningen, buitengerechtelijke executies en willekeurige detenties in met name Beloetsjistan;

29.   veroordeelt alle aanvallen op christenen en andere religieuze minderheden die in Pakistan leven en verwacht van Pakistan dat het grotere inspanningen zal leveren om de vrijheid van godsdienst en levensovertuiging te waarborgen, onder meer door de strenge godslasteringwetgeving te versoepelen, en dat het stappen zal zetten in de richting van de afschaffing van de doodstraf;

30.  is ingenomen met de aanneming van het wetsvoorstel tot oprichting van een nationale mensenrechtencommissie in 2012 en dringt er bij de regering op aan de commissie op te zetten, zodat deze van start kan gaan;

31.  merkt op dat de EU de belangrijkste exportpartner is voor Pakistaanse goederen (22,6 % in 2012); is van mening dat aan de handel gelieerde EU-steun aan Pakistan de diversificatie en de ontwikkeling van productiemethoden, met inbegrip van verwerking, moet helpen bevorderen, steun moet verlenen voor regionale integratie en technologieoverdracht, moet bijdragen aan de totstandbrenging of ontwikkeling van binnenlandse productiecapaciteit en de inkomensongelijkheid moet terugdringen;

32.  brengt in herinnering dat de SAP+-regeling van de EU, waar Pakistan met ingang van 2014 van profiteert, alleen wordt toegekend aan landen die zich ertoe verbinden uitvoering te geven aan de internationale verdragen inzake mensenrechten, arbeidsrechten, milieu en goed bestuur; onderstreept met name de verplichtingen die Pakistan is aangegaan in het kader van de in bijlage VIII opgesomde verdragen en herinnert de Commissie aan haar verplichting om toe te zien op de doeltreffende uitvoering ervan; brengt voorts in herinnering dat de SAP+-regeling tijdelijk wordt ingetrokken indien een land "zijn bindende verbintenissen niet daadwerkelijk nakomt";

33.  roept de Pakistaanse autoriteiten op doeltreffende stappen te nemen om de 36 IAO-verdragen ten uitvoer te leggen die het land heeft geratificeerd, met name om vakbonden hun werk te kunnen laten doen, de arbeidsomstandigheden en veiligheidsnormen te verbeteren, kinderarbeid uit te bannen en de ernstigste vormen van uitbuiting van de drie miljoen vrouwen die als huishoudelijk personeel werken, te bestrijden;

34.  dringt er bij de Pakistaanse regering op aan om, zoals toegezegd, het programma "Beter werk" van de IAO en de IFC te ondertekenen teneinde een extra impuls te geven aan de verbetering van de arbeids- en veiligheidsomstandigheden van de werknemers; verzoekt iedereen die direct of indirect verantwoordelijk is voor de brand in de kledingfabriek van Ali Enterprises, met inbegrip van het betrokken accountantskantoor dat de controles met betrekking tot maatschappelijk verantwoord ondernemen uitvoerde en de Europese detailhandelaren, om de overlevenden van de brand eindelijk volledig, duurzaam en eerlijk schadeloos te stellen, hetgeen nog steeds niet is gebeurd;

35.  verzoekt zijn voorzitter deze resolutie te doen toekomen aan de regering en het parlement van Pakistan, de Raad, de Commissie, de vicevoorzitter van de Commissie / hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, de speciale vertegenwoordiger van de EU voor de mensenrechten en de regeringen van de lidstaten.

(1) http://eeas.europa.eu/pakistan/docs/2012_feb_eu_pakistan_5_year_engagement_plan_en.pdf (2) http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/NL/foraff/131181.pdf (3) PB L 303 van 31.10.2012, blz. 1. (4) Aangenomen teksten, P7_TA(2013)0060. (5) PB C 353 E van 3.12.2013, blz. 323. (6) PB C 168 E van 14.6.2013, blz. 119.

Resolutie van het Europees Parlement van 12 maart 2014 over een raketschild voor Europa en de politieke en strategische gevolgen ervan (2013/2170(INI))

P7_TA(2014)0209 A7-0109/2014

Het Europees Parlement,

–  gezien artikel 42, lid 7, van het Verdrag betreffende de Europese Unie (VEU) en artikel 222 van het Verdrag betreffende de werking van de Europese Unie (VWEU),

–  gezien de artikelen 24 en 42, lid 2, VEU, de artikelen 122 en 196 VWEU en Verklaring nr. 37 ad artikel 222 VWEU,

–  gezien de door de Europese Raad op 12 december 2003 vastgestelde Europese Veiligheidsstrategie en het door de Europese Raad van 11 en 12 december 2008 goedgekeurde verslag over de uitvoering ervan,

–  gezien de op 25-26 maart 2010 door de Europese Raad goedgekeurde interneveiligheidsstrategie van de Europese Unie,

–  gezien de conclusies van de Europese Raad van 19 december 2013 over het gemeenschappelijk veiligheids- en defensiebeleid,

–  gezien het strategisch concept voor de defensie en veiligheid van de leden van de Noord-Atlantische Verdragsorganisatie, dat tijdens de op 19-20 november 2010 in Lissabon gehouden NAVO-top is goedgekeurd,

–  gezien de verklaring van de Top van Chicago, afgegeven door de staatshoofden en regeringsleiders die op 20 mei 2012 deelnamen aan de vergadering van de Noord-Atlantische Raad in Chicago,

–  gezien artikel 48 van zijn Reglement,

–  gezien het verslag van de Commissie buitenlandse zaken (A7-0109/2014),

A.  overwegende dat de kwestie van verdediging tegen ballistische raketten (BMD) in het verleden reeds is besproken, maar de afgelopen jaren aan belang heeft gewonnen, gezien de toegenomen dreiging die uitgaat van de proliferatie van kernwapens en andere massavernietigingswapens en de proliferatie van ballistische raketten, waaraan de Noord-Atlantische Verdragsorganisatie (NAVO) en haar Europese bondgenoten op doeltreffende wijze het hoofd moeten kunnen bieden;

B.  overwegende dat verdediging tegen aanvallen met ballistische of andersoortige raketten een positieve ontwikkeling kan betekenen voor de Europese veiligheid in een snel veranderende internationale veiligheidssituatie, waarin verschillende statelijke en niet-statelijke actoren rakettechnologieën en verschillende chemische, biologische, radiologische en nucleaire defensiecapaciteiten ontwikkelen waarmee het Europese grondgebied kan worden bereikt;

C.  overwegende dat de NAVO bezig is met de opbouw van BMD-capaciteiten om uitvoering te geven aan haar kerntaak van collectieve defensie, teneinde de bevolking, het grondgebied en de strijdkrachten van de Europese NAVO-lidstaten volledig te dekken en te beschermen tegen de toenemende dreiging die uitgaat van de proliferatie van ballistische raketten;

D.  overwegende dat de essentiële bijdrage van de Verenigde Staten aan BMD een bevestiging vormt van de inzet van de Verenigde Staten voor de NAVO en de veiligheid van Europa en de Europese bondgenoten, en het belang benadrukt van de trans-Atlantische banden; overwegende dat installaties reeds zijn geplaatst in Roemenië en dat naar verwachting meer installaties zullen worden geplaatst in Polen in de nabije toekomst;

E.  overwegende dat de ontwikkeling van het gemeenschappelijk veiligheids- en defensiebeleid volledig complementair zal zijn aan de NAVO, binnen het overeengekomen kader voor het strategische partnerschap tussen de EU en de NAVO, zoals bekrachtigd door de Europese Raad op 19 december 2013;

1.  meent dat door de ontwikkeling en de inzet van BMD-technologieën, de Europese veiligheid een nieuwe dynamiek ondervindt, en dat de lidstaten dan ook rekening moeten houden met de impact van BMD op hun veiligheid;

2.  herinnert eraan dat de BMD-activiteiten van de NAVO worden ontwikkeld en uitgevoerd om de NAVO-lidstaten te beschermen tegen mogelijke aanvallen met ballistische raketten; verzoekt de vicevoorzitter / hoge vertegenwoordiger een strategisch partnerschap met de NAVO te onderhouden, waarin het BMD-vraagstuk een plaats krijgt, hetgeen moet leiden tot volledige dekking en bescherming van alle EU-lidstaten, waarmee wordt vermeden dat de aan hen geboden veiligheid in welke zin dan ook zou verschillen per lidstaat;

3.  is verheugd over de voltooiing van een voorlopige BMD-capaciteit van de NAVO, die met de beschikbare middelen maximale dekking zal bieden ter bescherming van de burgers, grondgebieden en strijdkrachten van de Zuid-Europese NAVO-lidstaten tegen aanvallen met ballistische raketten; is eveneens verheugd over het doel om tegen het einde van dit decennium volledige dekking en bescherming te bieden aan de Europese NAVO-lidstaten;

4.  benadrukt dat EU-initiatieven als "pooling and sharing" nuttig kunnen zijn bij de versterking van de samenwerking tussen de lidstaten op het gebied van BMD, en eveneens bij de uitvoering van gezamenlijke onderzoeks- en ontwikkelingsactiviteiten; merkt op dat op de lange termijn deze samenwerking ook kan leiden tot een verdere consolidatie van de Europese defensie-industrie;

5.  verzoekt de Europese Dienst voor extern optreden, de Commissie, het Europees Defensieagentschap en de Raad, het BMD-vraagstuk een plaats te geven in toekomstige veiligheidsstrategieën, -studies en -witboeken;

6.  benadrukt dat er door de financiële crisis en bezuinigingen op de begroting te weinig middelen worden ingezet om het defensievermogen op peil te houden, wat tot een daling van de militaire en industriële capaciteiten van de EU leidt;

7.  benadrukt dat het BMD-plan van de NAVO geenszins tegen Rusland gericht is en dat de NAVO bereid is tot samenwerking met Rusland, waarbij er vanuit wordt gegaan dat twee onafhankelijke raketafweersystemen - het BMD-systeem van de NAVO en het Russische systeem - met elkaar gaan samenwerken; benadrukt dat effectieve samenwerking met Rusland concrete voordelen zou kunnen bieden, maar dat deze samenwerking moet worden ontwikkeld op basis van volledige wederkerigheid en transparantie, aangezien het opbouwen van wederzijds vertrouwen van wezenlijk belang is voor de geleidelijke ontwikkeling van een dergelijke samenwerking; merkt in dit verband op dat de verplaatsing van Russische raketten naar plaatsen dichter bij de NAVO- en EU-grenzen averechts werkt;

8.  verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de voorzitter van de Europese Raad, de vicevoorzitter van de Commissie / hoge vertegenwoordiger van de Unie voor het buitenlands en veiligheidsbeleid, de Raad, de Commissie, de parlementen van de EU-lidstaten, de Parlementaire Vergadering van de NAVO en de secretaris-generaal van de NAVO.

Resolutie van het Europees Parlement van 12 maart 2014 over de situatie en toekomstperspectieven van de Europese visserijsector in het kader van de vrijhandelsovereenkomst tussen de EU en Thailand (2013/2179(INI))

P7_TA(2014)0210 A7-0130/2014

Het Europees Parlement,

–  gezien artikel 3, lid 5, van het Verdrag betreffende de Europese Unie over de betrekkingen van de EU met de rest van de wereld,

–  gezien Verordening (EG) nr. 1005/2008 van 29 september 2008 van de Raad houdende de totstandbrenging van een communautair systeem om illegale, ongemelde en ongereglementeerde visserij te voorkomen, tegen te gaan en te beëindigen(1) (de IOO-verordening),

–  gezien de mededeling van de Commissie van 25 oktober 2011 inzake een vernieuwde EU-strategie 2010-14 voor maatschappelijk verantwoord ondernemen (COM(2011)0681),

–  gezien schriftelijke vragen E-000618/2013 van 22 januari 2013 over wantoestanden in de toeleveringsketen van de kleinhandel en E-002894/2013 van 13 maart 2013 over de vrijhandelsovereenkomst met Thailand en kinderarbeid in de conservenindustrie, en de antwoorden van de Commissie hierop,

–  gezien zijn resolutie van 22 november 2012 over de externe dimensie van het gemeenschappelijk visserijbeleid(2),

–  gezien artikel 48 van zijn Reglement,

–  gezien het verslag van de Commissie visserij en het advies van de Commissie internationale handel (A7-0130/2014),

A.  overwegende dat de Europese visserijsector uit een periode van crisis komt die de visvangst-, de verwerkings- en de aquacultuursector heeft getroffen en dat deze situatie de concurrentiepositie van de visserijsector zeer sterk heeft verzwakt, voornamelijk nu de wereldmarkt zich aan het liberaliseren is en tegelijk sommige ontwikkelingslanden die zeer rijk zijn aan mariene hulpbronnen, opkomen als nieuwe visserijgrootmachten;

B.  overwegende dat de Europese visserij- en verwerkende industrie van vitaal belang is voor de voedselvoorziening van de Europese burgers en essentieel voor het levensonderhoud in de kustgebieden, die sterk van deze activiteiten afhankelijk zijn; overwegende dat het overleven van de sector in het gedrang komt, als de EU besluit tot een liberalisering van de handel in visserijproducten met ontwikkelingslanden die hun producten willen uitvoeren naar de voor hen essentiële communautaire markt, in het bijzonder wanneer hun het nultarief wordt aangerekend;

C.  overwegende dat de EU de grootste importeur van visserijproducten ter wereld is en dat de EU-markt door zijn afhankelijkheid van de invoer zeer aantrekkelijk is voor exporteurs, zeker wanneer men weet dat de vraag naar visserijproducten in de EU jaarlijks met 1,5 % toeneemt;

D.  overwegende dat Thailand, met 46 % van de wereldproductie, het grootste productieland voor tonijn in blik is, dat de uitvoer van tonijn in blik vanuit dit land naar de EU jaarlijks meer dan 90 000 ton bedraagt, bijna 20 % van alle EU-invoer uit derde landen, en dat de VS, de EU en Japan de belangrijkste afzetmarkten zijn voor Thaise visserijproducten;

E.  overwegende dat Thailand 's werelds belangrijkste importeur is van verse, gekoelde en ingevroren tonijn voor haar conservenindustrie;

F.  overwegende dat 80 % van de tonijn wordt geconsumeerd als tonijn uit blik en dat de EU, volgens de recentste gegevens van de Fishstat-databank van de Voedsel- en Landbouworganisatie (Food and Agriculture Organisation, FAO), 21 % van de wereldproductie van conserven en bereidingen van tonijn produceert en derde landen, voornamelijk ontwikkelingslanden, de resterende 79 %;

G.  gezien het economische, strategische en handelsbelang van Thailand voor de EU en de aanzienlijke voordelen van de vrijhandelsovereenkomst tussen de EU en Thailand voor de economie van de Unie als geheel;

H.  overwegende dat de EU de regionale integratie tussen ASEAN-landen (Association of Southeast Asian Nations, Associatie van Zuidoost-Aziatische staten) ondersteunt en dat de vrijhandelsovereenkomst met Thailand een essentiële pijler vormt in dit proces, met als uiteindelijke doelstelling de sluiting in de toekomst van een vrijhandelsovereenkomst tussen beide regio's;

I.  overwegende dat de ondertekening van een vrijhandelsovereenkomst tussen de EU en de ASEAN voor de EU al een prioriteit is sinds 2007, met als hopelijke deelnemers Indonesië, Maleisië, de Filipijnen, Singapore, Thailand, Brunei en Vietnam; overwegende dat het gebrek aan vooruitgang bij de onderhandelingen over deze regionale overeenkomst heeft geleid tot de start van bilaterale onderhandelingen met ASEAN-lidstaten, waaronder Thailand, met een politiek engagement om de vrijhandelsovereenkomst te sluiten binnen twee jaar;

J.  overwegende dat, als Thailand, Indonesië en de Filipijnen bij het westelijke en het centrale deel van de Stille Oceaan worden gerekend, de productie van tonijn in blik in deze regio goed is voor bijna de helft van de wereldproductie;

K.  overwegende dat de veranderingen met betrekking tot de productielanden van tonijn in blik en de productie van tonijnzijden hand in hand gaan met de trend van wereldwijde levering aan verwerkende landen met lage productiekosten die zich bevinden dichtbij de grondstof (bijvoorbeeld Thailand, de Filipijnen, Indonesië, Papoea-Nieuw-Guinea en Ecuador) en dat het aantal landen dat tonijn in blik produceert en uitvoert, toeneemt;

L.  overwegende dat Thailand en de Filipijnen de belangrijkste uitvoerlanden zijn voor conserven en bereidingen van tonijn naar de EU, en dat de invoer vanuit Thailand met 20 % is toegenomen, terwijl de invoer vanuit de Filipijnen met 5 % is gedaald;

M.  overwegende dat elke tariefverlaging voor conserven en bereidingen van tonijn gevolgen kan hebben voor de preferenties die worden genoten door de staten in Afrika, het Caribisch gebied en de Stille Oceaan (de ACS-landen) en door de begunstigden van het algemeen preferentiestelsel (SAP+), in het kader waarvan derde landen zich er in ruil voor tariefpreferenties toe verplichten aan bepaalde eisen te voldoen op beleidsterreinen als mensenrechten, arbeid, milieu en goed bestuur;

N.  overwegende dat een tariefverlaging ook de Europese markt zou verstoren, aangezien het grootste deel van de tonijnconservenindustrie in de EU zich bevindt in gebieden die sterk afhankelijk zijn van de visserij, zoals Galicië, Bretagne, de Azoren, het Baskenland en Sardinië. overwegende dat de tonijnindustrie van de EU de op een na grootste producent van tonijnconserven ter wereld is en de sinds jaar en dag bedreven activiteit van deze industrie van cruciaal belang is voor de creatie van meerwaarde en de schepping van banen in de EU, terwijl wordt voldaan aan de strengste normen op sociaal en milieugebied en op het gebied van de bescherming van hygiëne en gezondheid;

O.  overwegende dat de preferentiële oorsprongsregels in de eerste plaats dienen om het bestaan vast te stellen van een afdoende economische band tussen de in de EU ingevoerde producten en de landen die de door de EU toegekende preferenties genieten, om ervoor te zorgen dat deze preferenties niet onterecht worden afgeleid naar andere landen, waarvoor zij niet zijn bedoeld;

P.  overwegende dat de handel in visserijproducten een handel is in een natuurlijke hulpbron, waarvan de duurzaamheid door uiteenlopende factoren wordt beïnvloed, inclusief goed beheer en een duurzame exploitatie van de visbestanden, controle van illegale visserij, verontreiniging, klimaatverandering en de marktvraag; dat al deze externe factoren een invloed hebben op de internationale handel in visserijproducten en dat visserijproducten bijgevolg moeten worden beschouwd als gevoelige producten die speciale bescherming kunnen krijgen;

Q.  overwegende dat een toereikende en constante aanvoer van grondstoffen belangrijk is voor het voortbestaan en de economische ontwikkeling van de tonijnverwerkende bedrijven in de EU;

R.  overwegende dat vrijhandel volgens de Wereldhandelsorganisatie (World Trade Organisation, WTO) een groeibevorderend instrument is, met als doel duurzame ontwikkeling op maatschappelijk, economisch en ecologisch gebied;

S.  overwegende dat handelsnormen in verband hiermee een fundamenteel en essentieel instrument zijn om ervoor te zorgen dat handel voordelen oplevert en om de doelstellingen te realiseren dat gezondheid en milieu worden beschermd en dat een behoorlijk beheer van de natuurlijke hulpbronnen wordt gegarandeerd;

T.  overwegende dat door de mondialisering heel wat meer vis internationaal wordt verhandeld en dat er algemene bezorgdheid bestaat dat vele productielanden niet over de nodige middelen beschikken om de visbestanden duurzaam te beheren en/of te exploiteren, de hygiëne en de gezondheid op adequate wijze te beschermen, de milieueffecten van visserij en aquacultuur te matigen, ervoor te zorgen dat de mensenrechten in het algemeen worden geëerbiedigd en met name de arbeidsrechten en sociale omstandigheden te bevorderen;

U.  overwegende dat sommige handelspartners van de EU tekortkomingen vertonen met betrekking tot de drie aspecten van een duurzame ontwikkeling van de visserij: maatschappelijk, economisch en ecologisch;

V.  overwegende dat het duurzame beheer van de tonijnbestanden wordt gewaarborgd door de vijf regionale organisaties voor visserijbeheer (ROVB's) voor tonijn; overwegende dat de internationale samenwerking tussen staten en met de ROVB's belangrijk is om de duurzaamheid van de tonijnbestanden te vrijwaren;

W.  overwegende dat zowel de IAO als diverse ngo's onlangs ernstige tekortkomingen hebben vastgesteld op het gebied van sociale en arbeidsvoorwaarden en de eerbiediging van de mensenrechten in de Thaise visserij-industrie; overwegende dat de media hebben gemeld en dat de Thaise regering heeft erkend dat een deel van de Thaise visserij-industrie gebruik maakt van dwangarbeid door immigranten die het slachtoffer zijn van mensenhandel en dat twee tonijnconserven producerende multinationals in Thailand gebruik maken van kinderarbeid;

X.  overwegende dat het volgens de FAO een gangbare praktijk is dat Thaise vissersboten door de aangrenzende kuststaten in beslag worden genomen en de kapiteins ervan beschuldigd van illegale visserij in of illegale betreding van de exclusieve economische zone van de landen in kwestie;

Y.  overwegende dat de Spaanse autoriteiten in 2013 toestemming hebben geweigerd voor het lossen en op de markt brengen van tonijn die afkomstig was van tonijnschepen die voeren onder Ghanese vlag, omdat deze schepen betrokken waren bij illegale, ongemelde en ongereglementeerde visserij (IOO), doordat ze de beheersmaatregelen van de Internationale Commissie voor de instandhouding van Atlantische tonijnen (International Commission for the Conservation of Atlantic Tunas, ICCAT), niet naleefden, en overwegende dat Thaise privébedrijven in de meeste van deze tonijnschepen een aandeel hadden;

Z.  overwegende dat de afgelopen maanden in de EU talrijke partijen tonijnconserven die waren aangevoerd uit Thailand, zijn geweigerd omdat ze niet de juiste warmtebehandeling hadden ondergaan, die van essentieel belang is om de micro-organismen te neutraliseren die anders een gevaar vormen voor de volksgezondheid;

1.  vraagt dat visserijproducten zoals uit Thailand ingevoerde tonijn in blik, die de EU-productie van en de EU-markt voor deze producten kunnen ontregelen, worden behandeld als gevoelige producten; is verder van mening dat alle beslissingen over een grotere toegang van Thaise tonijn in blik en verwerkte tonijn alleen mogen worden genomen na strenge effectbeoordelingen en in nauw overleg met de sector, om te analyseren en beoordelen welke invloed deze grotere toegang kan hebben op de verwerkende industrie en de verkoop van visserijproducten in de EU;

2.  vraagt dat voor de toegang van conserven en bereidingen van vis en schaal- en schelpdieren uit Thailand tot de EU-markt het huidige tarief wordt behouden en het tarief ervoor dus niet te verlagen; beveelt aan dat er, als er tariefverlagingen komen, voor conserven en bereidingen van vis en schaal- en schelpdieren wordt voorzien in lange overgangsperioden en gedeeltelijke liberaliseringstoezeggingen, teneinde het concurrentievermogen van de tonijnindustrie van de EU te waarborgen en de omvangrijke activiteit en sociale dimensie ervan (25 000 rechtstreekse banen en 54 000 onrechtstreekse banen) in de EU te behouden;

3.  vraagt dat indien nodig nauwkeurige effectbeoordelingen worden uitgevoerd, voordat welke tariefconcessies ook worden verleend of andere regels worden vastgesteld, om het effect te analyseren en beoordelen van deze concessies of regels op de EU-industrie voor de verwerking en het in de handel brengen van visserijproducten;

4.   pleit, in het geval van gevoelige visserijproducten, voor de volledige naleving van degelijke, coherente en strenge oorsprongsregels die zonder uitzondering worden gehandhaafd en voor een strikte beperking van de cumulatie tot producten die in Thailand veeleer worden verwerkt dan gevangen;

5.   dringt erop aan dat de invoer van tonijn in blik en andere visserijproducten uit Thailand zo veel mogelijk aan dezelfde concurrentievoorwaarden wordt onderworpen als visserijproducten uit de Unie; merkt op dat dit met name inhoudt dat de vrijhandelsovereenkomst een ambitieus hoofdstuk inzake handel en duurzame ontwikkeling moet omvatten, waarbij Thailand zich ertoe verplicht de internationaal erkende arbeidsnormen die zijn vastgelegd in de fundamentele IAO-verdragen, inclusief de verdragen inzake gedwongen arbeid en kinderarbeid, te eerbiedigen, te bevorderen en toe te passen; is tevens van mening dat streng toezicht moet worden gehouden op de eerbiediging van de mensenrechten, de bescherming van het milieu en de instandhouding en duurzame exploitatie van de visbestanden, de bestrijding van illegale, ongemelde en ongereglementeerde visserijactiviteiten en de conformiteit met de fytosanitaire en gezondheidsregels van de EU; is in verband hiermee van mening dat de Commissie regelmatig verslag over de naleving door Thailand van bovengenoemde verplichtingen moet uitbrengen aan het Parlement;

6.  verzoekt de Commissie erop toe te zien dat de IOO-verordening doeltreffend wordt toegepast en dat de onderhandelingen over de vrijhandelsovereenkomst leiden tot een uitdrukkelijke verwijzing naar deze verordening in de tekst van de overeenkomst;

7.  is van oordeel dat de beste manier om te zorgen voor de volledige samenwerking van Thailand in de strijd tegen IOO-visserij is door een nadrukkelijke verwijzing naar de IOO-verordening op te nemen in de tekst van de vrijhandelsovereenkomst;

8.  vraagt dat in de vrijhandelsovereenkomst de vereiste wordt opgenomen dat wordt voldaan aan de IAO-verdragen en dat er meer transparantie, controles, toezicht en traceerbaarheid komen in de Thaise visserijsector, zodat de visserijactiviteiten kunnen worden gevolgd;

9.  dringt erop aan dat de traceerbaarheid van de producten wordt gegarandeerd, als essentieel element voor de bescherming van de volksgezondheid en het milieu en als fundamentele factor en basisinstrument voor de controle van de illegale visserij;

10.  vraagt dat de vrijhandelsovereenkomst consistent blijft met het overige EU-beleid en met de bevordering van strategieën voor maatschappelijk verantwoord ondernemen; vraagt dat vrijwaringsclausules worden vastgesteld;

11.  benadrukt dat bij het besluit van het Parlement om zijn goedkeuring te hechten aan de vrijhandelsovereenkomst rekening zal worden gehouden met de algehele uitkomst van de onderhandelingen, inclusief de onderhandelingen van de visserijsector;

12.  verzoekt om reciprociteit op het gebied van markttoegang en de eliminatie van elke vorm van discriminatie in de dienstensector;

13.  hoopt dat Thailand, als grootste exporteur van tonijnconserven ter wereld, zal deelnemen aan en samenwerken met de drie ROVB's voor tonijn in de regio, namelijk de Inter-Amerikaanse Commissie voor tropische tonijn, de Commissie voor de visserij in het westelijke en het centrale deel van de Stille Oceaan en de Regionale Organisatie voor het visserijbeheer in het zuidelijke deel van de Stille Oceaan, en de ROVB voor de tonijnvisserij in de Indische Oceaan, waarvan het land lid is;

14.  steunt het bestaan van een beleid voor het behoud en het duurzame beheer van de visbestanden;

15.  verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad en de Commissie.

(1) PB L 286 van 29.10.2008, blz. 1. (2) Aangenomen teksten, P7_TA(2012)0461.

Resolutie van het Europees Parlement van 12 maart 2014 over het Europees gastronomisch erfgoed: culturele en educatieve aspecten (2013/2181(INI))

P7_TA(2014)0211 A7-0127/2014

Het Europees Parlement,

–  gezien het verslag van de Commissie Milieubeheer, volksgezondheid en voedselveiligheid over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de verstrekking van voedselinformatie aan de consumenten (COM(2008)0040),

–  gezien het rapport van de Organisatie van de Verenigde Naties voor Onderwijs, Wetenschap en Cultuur (Unesco )uit 2002 over voeding,

–  gezien het rapport van de Wereldgezondheidsorganisatie (WHO) getiteld "Food and Nutrition Policy for Schools",

–  gezien het Witboek van de Commissie van 30 mei 2007 getiteld "Een EU-strategie voor aan voeding, overgewicht en obesitas gerelateerde gezondheidskwesties" (COM(2007)0279),

–  gezien de conclusies van de Europese ministeriële conferentie van de WHO over "Nutrition and Noncommunicable Diseases in the Context of Health 2020", die op 4 en 5 juli 2013 in Wenen plaatsvond,

–  gezien het Unesco-Verdrag van 17 oktober 2003 inzake de bescherming van het immaterieel cultureel erfgoed,

–  gezien de opname van het mediterrane dieet in de representatieve lijst van het immaterieel cultureel erfgoed van de Unesco op 16 november 2010 en 4 december 2013,

–  gezien de opname van de Franse gastronomische keuken in de representatieve lijst van het immaterieel cultureel erfgoed van de Unesco (besluit 5.COM 6.14),

–  gezien artikel 48 van zijn Reglement,

–  gezien het verslag van de Commissie cultuur en onderwijs (A7-0127/2014),

Educatieve aspecten

A.  overwegende dat de gezondheidstoestand en het welzijn van de bevolking, zowel in het heden als in de toekomst, worden bepaald door eetgewoontes en milieu en bijgevolg door de landbouw-, visserij- en teeltmethodes;

B.  overwegende dat de WHO in het kader van haar Global School Health Initiative scholen als een belangrijke plek beschouwt voor de vergaring van theoretische en praktische kennis op het gebied van gezondheid, voeding, levensmiddelen en gastronomie;

C.  overwegende dat slechte voeding dramatische gevolgen kan hebben; dat de Europese ministers van Volksgezondheid tijdens de Europese ministeriële conferentie van de WHO in juli 2013 hebben opgeroepen tot een brede mobilisatie "om te strijden tegen zwaarlijvigheid en slechte voeding" die de oorzaak zijn van een epidemie van niet-overdraagbare ziekten zoals cardiovasculaire ziekten, diabetes of kanker;

D.  overwegende dat overheersende stereotype ideeën over uiterlijk en voeding tot ernstige eet- en psychologische stoornissen zoals anorexia of boulimia kunnen leiden; dat het daarom van belang is deze vraagstukken met name bij jongeren onder de aandacht te brengen;

E.  overwegende dat volgens de European Food Information Council in 2006 ongeveer 33 miljoen mensen in Europa aan het gevaar van ondervoeding blootstonden; dat de situatie sinds het begin van de crisis nog is verergerd;

F.  overwegende dat de kindertijd een belangrijke periode is om gezonde gewoonten en kennis aan te leren voor een gezonde levensstijl, en dat de school een van de plaatsen is waar men doeltreffende maatregelen kan treffen om op lange termijn gezond gedrag te ontwikkelen bij de nieuwe generaties;

G.  overwegende dat scholen beschikken over de ruimten en middelen die kunnen bijdragen aan zowel de kennis over en de omgang met voeding als aan het creëren van eetgedrag dat, in combinatie met een regelmatige en juist gedoseerde lichaamsbeweging, een gezond leven mogelijk maakt;

H.  overwegende dat voorlichting, educatie en bewustmaking onderdelen zijn van de EU-strategie om de lidstaten te ondersteunen bij het beperken van aan alcohol gerelateerde schade (COM(2006)0625), en dat in die strategie passende consumptiegewoonten worden erkend; dat de Raad op 5 juni 2001 een aanbeveling heeft uitgebracht betreffende alcoholgebruik door jongeren, in het bijzonder kinderen en adolescenten, waarin wordt gepleit voor de bevordering van een sectoroverschrijdende aanpak op het gebied van educatie;

I.  overwegende dat tijdens de bijeenkomst van het Europees Netwerk van Voedingsorganisaties (European Nutrition Foundations Network, ENF) over "Voeding op school in Europa: de rol van organisaties" werd vastgesteld dat het noodzakelijk is om het thema voedsel - zowel voedingsaspecten als gastronomie - op te nemen in het lesprogramma, en dat unaniem overeengekomen werd om daar instellingen als het Europees Parlement en de Commissie bij in te schakelen;

J.  overwegende dat verschillende landen via diverse binnenlandse instellingen hebben aangedrongen op erkenning door de Unesco van het mediterrane dieet als immaterieel cultureel erfgoed, wat geleid heeft tot de bevordering en vaststelling van enkele gedragspatronen om een gezonde levensstijl te garanderen, een en ander vanuit een horizontale benadering waarbij rekening wordt gehouden met allerlei aspecten, zoals onderwijs, levensmiddelen, school, familie, voeding, territoriale en landschapselementen, enz.;

K.  overwegende dat het mediterrane dieet is gebaseerd op evenwichtige en gezonde voedings- en levensgewoonten die rechtstreeks verband houden met de preventie van chronische ziekten en de bevordering van de gezondheid, zowel vanuit de school als binnen het gezin;

L.  overwegende dat de Europese "Food at Schools"-programma's proberen te garanderen dat het aangeboden eten in schoolkantines al het noodzakelijke bevat voor een hoogwaardige en gebalanceerde voeding; dat onderwijs in zijn breedste betekenis, ook op het gebied van voeding, kan dienen om onder de scholieren een gezonde en op gebalanceerde eetgewoonten gebaseerde levensstijl te bevorderen;

M.  overwegende dat serieuze voedingsvoorlichting de burgers ook kennis bijbrengt over het verband tussen levensmiddelen, de duurzaamheid ervan en de gezondheidstoestand van de planeet;

N.  overwegende dat vele gezinnen, en met name kinderen, als gevolg van de prijsverhogingen in schoolkantines en van levensmiddelen in het algemeen geen toegang hebben tot evenwichtige en hoogwaardige voeding;

O.  overwegende dat media en reclame van invloed zijn op het consumptiegedrag van burgers;

P.  overwegende dat het essentieel is systemen te ontwikkelen voor een passende en voor elke consument duidelijke etikettering voor wat betreft de samenstelling en de oorsprong van producten, zodat de consument de mogelijkheid heeft gedetailleerde kennis op te doen over de producten die hij gebruikt en de intrinsieke kwaliteit en smaak ervan;

Q.  overwegende dat de opleiding van werknemers in de gastronomiesector onderdeel is van de overdracht, valorisatie, instandhouding en ontwikkeling van de Europese gastronomie;

Culturele aspecten

R.  overwegende dat gastronomie het geheel is van kennis, ervaringen, kunst en ambacht dat het mogelijk maakt om gezond en plezierig te eten;

S.  overwegende dat de gastronomie deel uitmaakt van onze identiteit en een essentieel onderdeel vormt van het cultureel erfgoed van Europa en van de lidstaten;

T.  overwegende dat de EU de vaststelling, verdediging en bescherming op internationaal niveau van de geografische aanduidingen, oorsprongsbenamingen en traditionele specialiteiten voor agrolevensmiddelen heeft bevorderd;

U.  overwegende dat gastronomie niet alleen een elitaire kunst van voedselbereiding is maar ook een actieve wijze van erkenning van de waarde van de gebruikte grondstoffen, de kwaliteit ervan en de noodzaak uit te munten in alle stadia van voedselverwerking, een concept dat ook respect voor dieren en de natuur behelst;

V.  overwegende dat de gastronomie nauw verbonden is met de landbouwactiviteiten van de diverse Europese regio's en hun lokale producten;

W.  overwegende dat het belangrijk is om de tradities en gewoonten in stand te houden die verband houden met bijvoorbeeld de lokale en regionale gastronomie en om de ontwikkeling van de Europese gastronomie aan te moedigen;

X.  overwegende dat de gastronomie een van de belangrijkste culturele uitingen van de mens is en dat onder deze term niet alleen "haute cuisine" moet worden verstaan, maar alle culinaire uitingen uit de verschillende regio's en lagen van de maatschappij, inclusief de culinaire uitingen die gerelateerd zijn aan de traditionele plaatselijke keuken;

Y.  overwegende dat traditionele gerechten tot het culinair en cultureel erfgoed behoren en dat het voortbestaan ervan zeer vaak in het gedrang komt door de opmars van gestandaardiseerd voedsel;

Z.  overwegende dat het voor de kwaliteit, de reputatie en de diversiteit van de Europese gastronomie essentieel is dat er in Europa voldoende voedsel van voldoende kwaliteit wordt geproduceerd;

AA.  overwegende dat de gastronomie de diverse aspecten van voeding betreft en dat haar drie fundamentele steunpilaren gezondheid, eetgewoonten en plezier zijn; dat kookkunst in tal van landen als een belangrijk aspect van het sociale leven geldt en mensen samen brengt; dat kennis maken met diverse eetculturen een vorm van culturele uitwisseling is; dat het ook een positieve invloed heeft op sociale en familiebanden;

AB.  overwegende dat de erkenning door de Unesco van het mediterrane dieet als immaterieel cultureel erfgoed van groot belang is en betrekking heeft op een geheel van kennis, vaardigheden, praktijken, rituelen, tradities en symbolen die verband houden met landbouw, visserij en veeteelt en met manieren om de levensmiddelen te bewaren, te verwerken, te bereiden, te delen en te consumeren;

AC.  overwegende dat de eetgewoonten van de Europese volkeren een rijke sociaal-culturele erfenis zijn die we moeten overdragen op de volgende generaties; dat de scholen, samen met de gezinnen, de ideale plaatsen zijn voor het verwerven van deze kennis;

AD.  overwegende dat de gastronomie een van de belangrijkste reclamemiddelen wordt op het gebied van toerisme en dat de wisselwerking tussen toerisme, gastronomie en voeding een zeer positief effect heeft op de bevordering van toerisme;

AE.  overwegende dat het van belang is om op toekomstige generaties de rijkheid van de gastronomie van hun regio en meer in het algemeen van de Europese gastronomie over te brengen;

AF.  overwegende dat de gastronomie het regionaal erfgoed helpt promoten;

AG.  overwegende dat het essentieel is lokale en regionale productie te bevorderen, teneinde enerzijds het gastronomische erfgoed te behouden en anderzijds een eerlijke beloning van producenten en een maximale beschikbaarheid van de betrokken producten te waarborgen;

AH.  overwegende dat de gastronomie een bron van zowel culturele als economische rijkdom voor de regio’s van de EU is;

AI.  overwegende dat het Europees erfgoed bestaat uit materiële en immateriële elementen en dat, wat gastronomie en voeding betreft, ook de plaats en het landschap waar de consumptieproducten vandaan komen, tot dat erfgoed behoren;

AJ.  overwegende dat de duurzaamheid, diversiteit en culturele rijkdom van de Europese gastronomie op de beschikbaarheid van hoogwaardige lokale producten berusten;

Educatieve aspecten

1.  vraagt de lidstaten het bestuderen en zintuigelijk ervaren van voedsel, gezond eten en eetgewoonten, met inbegrip van de historische, geografische, culturele en ervaringsaspecten, van jongs af aan op te nemen in het onderwijsprogramma, als middel om bij te dragen aan de verbetering van de gezondheid en het welzijn van de bevolking, de kwaliteit van de levensmiddelen en de eerbiediging van het milieu; is ingenomen met de gastronomielessen die in een aantal lidstaten worden gegeven op scholen, in sommige gevallen in samenwerking met gerenommeerde koks; wijst erop dat het belangrijk is om educatie inzake gezonde eetgewoonten te combineren met maatregelen ter bestrijding van stereotypen die kunnen leiden tot ernstige eet- en psychologische stoornissen, zoals anorexia of boulimia;

2.  benadrukt tevens dat het van belang is de aanbevelingen van de WHO inzake de bestrijding van zwaarlijvigheid en slechte voeding ten uitvoer te leggen; is verontrust over het huidige ondervoedingsprobleem in Europa en de toename ervan sinds het begin van de crisis, en dringt erop aan dat de lidstaten al het mogelijke doen om gezonde voeding voor iedereen mogelijk te maken, bijvoorbeeld door kwaliteitsvolle en voor iedereen toegankelijke school- of gemeentelijke kantines te waarborgen;

3.  wijst op de noodzaak om schoolprogramma's tevens te verrijken met informatie over de - met name lokale - eetcultuur, voedselbereiding, de voedselproductie-, bewarings- en distributieprocessen, de sociaal-culturele invloeden van levensmiddelen en consumentenrechten; stelt voor dat de lidstaten in hun onderwijsprogramma's workshops opnemen die gericht zijn op de ontwikkeling van de zintuigen, met name de smaakzin, waarbij voorlichting over de voedingswaarde van levensmiddelen gecombineerd wordt met informatie over het regionaal en nationaal gastronomisch erfgoed;

4.  herinnert eraan dat in sommige Europese landen het thema voeding al in de schoolprogramma's is opgenomen, terwijl dit in andere landen niet als zodanig verplicht is maar onder de aandacht wordt gebracht via verschillende middelen, zoals programma's van lokale autoriteiten of particuliere instellingen;

5.  herhaalt dat op de scholen voedingsleer moet worden onderwezen en voorlichting moet worden gegeven over goede, gezonde en lekkere eetgewoonten;

6.  wijst erop dat op basisscholen en middelbare scholen in heel Europa meer aan sport en lichaamsbeweging moet worden gedaan;

7.  herinnert eraan dat goede voeding het welzijn van kinderen verbetert, hun leervermogen verhoogt, hun weerstand vergroot en een gezonde ontwikkeling bevordert;

8.  wijst erop dat eetgewoonten die tijdens de kindertijd worden aangeleerd invloed kunnen hebben op de voorkeur en keuze voor voedsel – en de wijzen waarop eten wordt bereid en genuttigd - op volwassen leeftijd; de kindertijd vormt dus een cruciaal moment voor de ontwikkeling van de smaakzin en de school is een belangrijke plek om scholieren kennis te laten maken met de diversiteit van producten en vormen van gastronomie;

9.  is van mening dat er voorlichtings- en bewustmakingsprogramma's moeten worden georganiseerd over de gevolgen van ongepast alcoholgebruik en dat gezonde en verstandige consumptiegewoonten moeten worden bevorderd door ervoor te zorgen dat mensen beter op de hoogte zijn van de specifieke eigenschappen van wijnen, hun geografische aanduidingen, de druivensoorten, de productiemethoden en de betekenis van traditionele vermeldingen;

10.  vraagt de Commissie projecten aan te moedigen voor uitwisseling van informatie en praktijken met betrekking tot voeding, levensmiddelen en gastronomie, bijvoorbeeld in het kader van de Comeniuslijn (schoolonderwijs) van het Erasmus+-programma; verzoekt de EU en haar lidstaten eveneens de interculturele uitwisseling te bevorderen in bedrijfstakken die verband houden met restauratie, voeding en gastronomie, en daarbij de mogelijkheden te benutten die het Erasmus +-programma biedt voor hoogwaardige scholing, mobiliteit en stages voor leerlingen en beroepsbeoefenaars;

11.  wijst erop dat educatie op het gebied van voeding en gastronomie, inclusief het aanleren van respect voor de natuur en het milieu, moet kunnen rekenen op medewerking van het gezin, de leraren, de onderwijsomgeving, informatiekanalen en alle beroepsbeoefenaars in het onderwijs;

12.  onderstreept het nut van informatie- en communicatietechnologie (ICT) als instrument in het leerproces; moedigt de totstandbrenging aan van interactieve platformen die de toegang tot en de verspreiding van het Europese, nationale en regionale erfgoed moeten vergemakkelijken, dit ter bevordering van de instandhouding en overdracht van traditionele knowhow tussen beroepsbeoefenaren, ambachtslieden en burgers;

13.  vraagt de Commissie, de Raad en de lidstaten een striktere regelgeving voor inhoud en reclame met betrekking tot levensmiddelen te overwegen, met name vanuit het oogpunt van nutritionele aspecten;

14.  herinnert de lidstaten eraan dat zij ervoor moeten zorgen dat op scholen alle vormen van reclame of sponsoring voor ongezond voedsel verboden worden;

15.  verzoekt de lidstaten ervoor te zorgen dat docenten goed worden opgeleid, in samenwerking met voedingsdeskundigen en artsen, om op correcte wijze voedingsleer te kunnen onderwijzen op scholen en universiteiten; herinnert eraan dat voeding en milieu met elkaar samenhangen en vraagt bijgevolg ook om de actualisering van de kennis op het gebied van milieu;

16.  verzoekt de Commissie en de Raad een studie te maken van opleidingsprogramma's voor beroepsbeoefenaren in de gastronomie; moedigt de lidstaten aan deze opleidingen te promoten; wijst erop hoe belangrijk het is dat deze opleidingen de lokale en Europese gastronomie, de diversiteit van producten en de voedselbereidings-, productie-, bewarings- en distributieprocessen behelzen;

17.  onderstreept het belang van opleidingen van beroepsbeoefenaren in de gastronomie waarbij de "ambachtelijke bereiding" en lokale en gevarieerde productie benadrukt worden;

18.  vraagt de lidstaten om via het onderwijs kennis en goede voorbeelden op het gebied van gastronomie uit te wisselen en het gastronomische bewustzijn in de diverse regio's te bevorderen; vraagt ook om een uitwisseling van goede praktijken of aandacht voor verkorting van de voedselketen dankzij focus op plaatselijke seizoensproducten;

19.  wijst erop dat financieringsprogramma's van het gemeenschappelijk landbouwbeleid voor 2014-2020 moeten worden aangewend om gezonde voeding op scholen te promoten;

20.  herinnert eraan dat de erkenning door de Unesco van het mediterrane dieet en de Franse gastronomische keuken als immaterieel cultureel erfgoed van de mensheid geleid heeft tot de oprichting van instellingen en organen die ijveren voor de bevordering van de kennis, het gebruik en het aanleren van de waarden en gewoonten in verband met gezonde en evenwichtige voedingspatronen;

Culturele aspecten

21.  onderstreept de noodzaak om het besef van de verscheidenheid en kwaliteit van regio's, landschappen en producten die de basis vormen van de Europese gastronomie, te vergroten, een gastronomie die deel uitmaakt van ons cultureel erfgoed en een unieke en internationaal erkende levensstijl vormt; benadrukt dat dit soms eerbiediging van plaatselijke gebruiken vereist;

22.  wijst erop dat de gastronomie een goed instrument is voor het creëren van groei en werkgelegenheid in uiteenlopende bedrijfstakken, zoals onder andere de horeca, het toerisme, de agrolevensmiddelenindustrie en het onderzoek; wijst erop dat de gastronomie ook een scherpe zin kan ontwikkelen voor de bescherming van de natuur en het milieu die ervoor zorgen dat levensmiddelen een authentiekere en minder door additieven of conserveermiddelen verkregen smaak hebben;

23.  benadrukt het belang van de gastronomie bij het bevorderen van de horeca in heel Europa en vice versa;

24.  erkent de rol die onze bekwame en talentvolle chefs spelen bij het bewaren en uitdragen van ons gastronomisch erfgoed, en het belang van het in stand houden van onze culinaire expertise als een essentiële factor die zowel een educatieve en als een economische meerwaarde biedt;

25.  is ingenomen met initiatieven die gericht zijn op het promoten van het Europese gastronomisch erfgoed, zoals plaatselijke en regionale gastronomische feesten en festivals, die het korte-ketenconcept als uiting van het respect voor het milieu en de eigen omgeving versterken en een groter consumentenvertrouwen garanderen; dringt erop aan dat aan deze initiatieven ook een Europese dimensie wordt gegeven;

26.  is ingenomen met de drie EU-regelingen voor geografische aanduidingen en traditionele specialiteiten, te weten de beschermde oorsprongsbenaming (BOB), de beschermde geografische aanduiding (BGA) en de gegarandeerde traditionele specialiteiten (GTS), die de waarde van Europese landbouwproducten op EU-niveau en internationaal verhogen; verzoekt de lidstaten en de regio's – met name gemeenschappelijke - BOB-labels te ontwikkelen voor gelijkaardige producten uit grensoverschrijdende geografische gebieden;

27.  is ingenomen met initiatieven als "Slow Food", die iedereen helpen het sociale en culturele belang van voedsel te waarderen, alsook met het initiatief "Wine in Moderation" dat een op matiging gebaseerde levensstijl en drankconsumptie bevordert;

28.  onderstreept de rol die de academies voor gastronomie, de Europese Federatie van organisaties op het gebied van voeding en de Internationale Academie voor Gastronomie, met zetel in Parijs, vervullen bij het bestuderen en verspreiden van het gastronomisch erfgoed;

29.  verzoekt de lidstaten, in het kader van de culturele en economische ontwikkeling van de verschillende regio's, beleid op te stellen en uit te voeren dat gericht is op de kwalitatieve en kwantitatieve verbetering van de gastronomische sector, als zodanig en als onderdeel van het toeristische aanbod;

30.  benadrukt dat de gastronomie een sterk cultureel exportproduct is voor de EU en voor de individuele lidstaten;

31.  verzoekt de lidstaten initiatieven met betrekking tot het plattelandstoerisme te steunen, daar deze initiatieven de kennis van het cultureel en landschappelijk erfgoed en de ondersteuning en plattelandsontwikkeling van regio's bevorderen;

32.  vraagt de lidstaten en de Commissie de culturele aspecten van de gastronomie uit te werken en eetgewoonten te bevorderen die goed zijn voor de gezondheid, de uitwisseling van culturen stimuleren en de regio's promoten, en tegelijkertijd het plezier dat verbonden is met eten en het sociale en gezelligheidsaspect ervan in stand houden;

33.  verzoekt de lidstaten onderling samen te werken en initiatieven te steunen die gericht zijn op de instandhouding van de kwaliteit, diversiteit, heterogeniteit en uniekheid van plaatselijke, regionale en nationale traditionele producten, om zodoende de strijd aan te gaan met de homogenisering die, op lange termijn, zal leiden tot verarming van het Europees gastronomisch erfgoed;

34.  moedigt de Commissie, de Raad en de lidstaten aan om in hun beraadslagingen over het voedselbeleid aandacht te schenken aan het belang van ondersteuning van een duurzame, gevarieerde, kwalitatief en kwantitatief toereikende Europese voedselproductie, ter ondersteuning van de Europese culinaire diversiteit;

35.  vraagt de Commissie en de lidstaten om een krachtiger aanpak voor wat betreft de erkenning en kwaliteitscertificering van de Europese voedselproducten met het oog op valorisatie van die producten, betere voorlichting van de consument en bescherming van de diversiteit van de Europese gastronomie;

36.  merkt op dat het van belang is de waarde van hoogwaardige gastronomische producten te erkennen en te vergroten; verzoekt de Commissie, de Raad en de lidstaten na te denken over de invoering van consumentenvoorlichting door restauranthouders over met behulp van onverwerkte basisproducten ter plekke bereide maaltijden;

37.  moedigt de Commissie, de Raad en de lidstaten aan om de gevolgen van de door hen vastgestelde wetgeving inzake de capaciteit, de diversiteit en de kwaliteit van de voedselproductie in EU te onderzoeken en maatregelen te treffen tegen namaak van producten;

38.  steunt initiatieven die de lidstaten en hun regio's kunnen uitwerken om alle streken, landschappen en producten waaruit hun lokale gastronomische erfgoed bestaat, te promoten en in stand te houden; verzoekt de regio’s om op scholen en bij collectieve cateringdiensten in samenwerking met lokale producenten een lokale en diëtische gastronomie te promoten, teneinde het regionale gastronomische erfgoed in stand te houden en te valoriseren, de lokale landbouw te stimuleren en de bevoorradingsketens te verkorten;

39.  vraagt de lidstaten om maatregelen te nemen voor de instandhouding van het Europees erfgoed dat verband houdt met de gastronomie, zoals de bescherming van het architectonisch erfgoed van traditionele levensmiddelenmarkten, wijndomeinen of andere faciliteiten en van werktuigen en machines die in de voedingssector en gastronomie gebruikt worden;

40.  onderstreept het belang van het inventariseren, registreren, overdragen en verspreiden van de culturele rijkdom van de Europese gastronomie; pleit voor de oprichting van een Europees waarnemingscentrum voor de gastronomie;

41.  beveelt de Commissie aan om de Europese gastronomie op te nemen in haar culturele programma's en initiatieven;

42.  is ingenomen met het feit dat de Franse gastronomische maaltijd is opgenomen in de lijst van het immaterieel cultureel erfgoed van de mensheid, net als het mediterrane dieet, de Kroatische kruidkoek en de traditionele Mexicaanse keuken, en moedigt de lidstaten aan om bij te dragen aan de instandhouding van hun gastronomische tradities en gebruiken door een verzoek in te dienen tot opname ervan in het Unesco-Verdrag inzake de bescherming van het immaterieel cultureel erfgoed;

43.  stelt de Europese steden voor om zich kandidaat te stellen als Unesco-Stad van de Gastronomie, programmaonderdeel van het Netwerk van Creatieve Steden;

o
o   o

44.  verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad, de Commissie en de regeringen en parlementen van de lidstaten.

Wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))	P7_TA(2014)0212 A7-0402/2013
RECTIFICATIES COR01

(Gewone wetgevingsprocedure: eerste lezing)

Het Europees Parlement,

–  gezien het voorstel van de Commissie aan het Europees Parlement en de Raad (COM(2012)0011),

–  gezien artikel 294, lid 2, en de artikelen 16, lid 2, en 114, lid 1, van het Verdrag betreffende de werking van de Europese Unie, op grond waarvan het voorstel door de Commissie bij het Parlement is ingediend (C7-0025/2012),

–  gezien artikel 294, lid 3, van het Verdrag betreffende de werking van de Europese Unie,

–  gezien de gemotiveerde adviezen die in het kader van Protocol nr. 2 betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid zijn uitgebracht door de Belgische Kamer van Volksvertegenwoordigers, de Duitse Bondsraad, de Franse Senaat, de Italiaanse Kamer van Afgevaardigden en de Zweedse Rijksdag, en waarin wordt gesteld dat het ontwerp van wetgevingshandeling niet strookt met het subsidiariteitsbeginsel,

–  gezien het advies van het Europees Economisch en Sociaal Comité van 23 mei 2012(1),

–  na raadpleging van het Comité van de Regio's,

–  gezien het advies van de Europese toezichthouder voor gegevensbescherming van 7 maart 2012(2),

–  gezien het advies van het Bureau van de Europese Unie voor de grondrechten van 1 oktober 2012,

–  gezien artikel 55 van zijn Reglement,

–  gezien het verslag van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en de adviezen van de Commissie werkgelegenheid en sociale zaken, de Commissie industrie, onderzoek en energie, de Commissie interne markt en consumentenbescherming en de Commissie juridische zaken (A7-0402/2013),

1.  stelt onderstaand standpunt in eerste lezing vast;

2.  verzoekt om hernieuwde voorlegging aan het Parlement indien de Commissie voornemens is ingrijpende wijzigingen in dit voorstel aan te brengen of dit door een nieuwe tekst te vervangen;

3.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad, de Commissie en de nationale parlementen.

Standpunt van het Europees Parlement in eerste lezing vastgesteld op 12 maart 2014 met het oog op de vaststelling van Verordening (EU) nr. .../2014 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2, en artikel 114, lid 1,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité(3),

Na raadpleging van het Comité der Regio's(4),

Gezien het advies van de Europese Toezichthouder voor gegevensbescherming(5),

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)  De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie ("het Handvest") en artikel 16, lid 1, van het Verdrag heeft eenieder het recht op bescherming van zijn of haar persoonsgegevens.

(2)  De verwerking van persoonsgegevens staat ten dienste van de mens; de beginselen en voorschriften betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht de nationaliteit of de verblijfplaats van de betrokkenen, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, en in het bijzonder met hun recht op bescherming van persoonsgegevens. Gegevensverwerking dient bij te dragen tot de totstandbrenging van een ruimte van vrijheid, veiligheid en recht en van een economische unie, tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het individuele welzijn.

(3)  Richtlijn 95/46/EG van het Europees Parlement en de Raad(6) heeft tot doel de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens binnen de Unie te garanderen.

(4)  De economische en sociale integratie die het gevolg is van de werking van de interne markt heeft geleid tot een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens. De gegevensuitwisseling tussen economische en sociale actoren is in de publieke en de particuliere sector toegenomen. De nationale autoriteiten van de lidstaten moeten op grond van het Unierecht samenwerken en persoonsgegevens uitwisselen om hun opdrachten te vervullen of om taken uit te voeren namens een autoriteit in een andere lidstaat.

(5)  Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Door technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Mensen maken hun persoongegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en maakt het noodzakelijk het vrije verkeer van gegevens binnen de Unie en de doorgifte naar derde landen en internationale organisaties verder te vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens te garanderen.

(6)  In verband met deze ontwikkelingen moet een krachtiger en coherenter kader voor gegevensbescherming in de EU tot stand worden gebracht en bovendien scherp worden toegezien op de handhaving daarvan, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich op de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben en er dient meer praktische en rechtszekerheid te worden geboden aan personen, bedrijven en overheden.

(7)  Richtlijn 95/46/EG is wat doelstellingen en beginselen betreft nog steeds valide, maar heeft niet voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, er sprake is van rechtsonzekerheid en in brede lagen van de bevolking het beeld bestaat dat met name onlineactiviteit aanzienlijke risico´s inhoudt met betrekking tot de bescherming van natuurlijke personen. De verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid de bescherming van persoonsgegevens, op het stuk van de verwerking van persoonsgegevens in de lidstaten is gewaarborgd, kunnen het vrije verkeer van persoonsgegevens binnen de Unie beletten. Deze verschillen kunnen bijgevolg een belemmering vormen voor de uitoefening van economische activiteiten op EU-schaal, de mededinging vervalsen en de overheid beletten haar taak ten aanzien van de toepassing van het Unierecht te vervullen. Deze verschillende beschermingsniveaus zijn het gevolg van de verschillen in de uitvoering en toepassing van Richtlijn 95/46/EG.

(8)  Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens op te heffen, dient het niveau van de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.

(9)  Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking en nadere vaststelling van de rechten van de betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, maar ook vergelijkbare bevoegdheden inzake toezicht en handhaving van de voorschriften inzake gegevensbescherming en vergelijkbare sancties voor overtreders in de lidstaten.

(10)  Artikel 16, lid 2, van het Verdrag machtigt het Europees Parlement en de Raad om de voorschriften vast te stellen betreffende de bescherming van personen ten aanzien van de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die gegevens.

(11)  Teneinde personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van gegevens op de interne markt hinderen, is een verordening nodig om bedrijven, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de voor de verwerking verantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. Met het oog op de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordeningen een aantal uitzonderingsbepalingen. Bovendien worden de instellingen en organen van de Unie, de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen. De definitie van het begrip kleine, middelgrote en micro-ondernemingen dient te worden overgenomen uit Aanbeveling 2003/361/EG van de Commissie(7).

(12)  De bescherming die door deze verordening wordt geboden, dient betrekking te hebben op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Met betrekking tot de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon, dient geen beroep op deze verordening te kunnen worden gedaan. Dit dient ook te gelden wanneer de naam van de rechtspersoon de namen van een of meer natuurlijke personen bevat.

(13)  De bescherming van personen dient technologisch neutraal te zijn en niet afhankelijk te zijn van de gebruikte technieken; anders zou een ernstig gevaar van ontduiking ontstaan. De bescherming van personen dient zowel te gelden bij automatische als manuele verwerking van persoonsgegevens, indien de gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand. Dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn, dienen niet onder het toepassingsgebied van deze verordening te vallen.

(14)  Deze verordening is niet van toepassing op vraagstukken met betrekking tot de bescherming van grondrechten en fundamentele vrijheden of het vrije verkeer van gegevens in verband met niet onder het Unierecht vallende activiteiten en betreft noch de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, die onder . Verordening (EG) nr. 45/2001 vallen, noch de gegevensverwerking die de lidstaten verrichten bij activiteiten in verband met het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie van het Europees Parlement en de Raad(8) dient in overeenstemming te worden gebracht met deze verordening en in overeenstemming met deze verordening te worden toegepast. [Am. 1]

(15)  Deze verordening dient niet van toepassing te zijn op de verwerking van persoonsgegevens van louter persoonlijke, familiegerelateerde of huishoudelijke aard, zoals correspondentie of adressenbestanden of een particuliere verkoop, door een natuurlijke persoon, wanneer deze verwerking zonder commercieel belang wordt verricht en dus geen enkel verband houdt met een beroeps- of handelsactiviteit. De uitzondering Deze verordening dient evenmin evenwel te gelden voor de voor de verwerking verantwoordelijken en of de verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten. [Am. 2]

(16)  De bescherming van personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens is aan een specifiek uniaal rechtsinstrument onderworpen. Deze verordening dient derhalve niet van toepassing te zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Het gebruik van overeenkomstig deze verordening door de openbare autoriteiten verwerkte gegevens met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties dient echter te worden geregeld bij het meer specifieke uniale rechtsinstrument (Richtlijn 2014/EU van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens).

(17)  Deze verordening dient geen afbreuk te doen aan de toepassing van Richtlijn 2000/31/EG van het Europees Parlement en de Raad(9), inzonderheid de bepalingen inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn.

(18)  Deze verordening biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde voorschriften rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten. Persoonsgegevens in documenten die worden gehouden door een overheidsinstantie of een overheidsorgaan mogen door die instantie of dat orgaan worden bekendgemaakt in overeenstemming met het Unierecht of het recht van de lidstaat betreffende het recht van toegang van het publiek tot officiële documenten, waardoor het recht van gegevensbescherming wordt verzoend met het recht van toegang van het publiek tot officiële documenten en er wordt gezorgd voor een billijk evenwicht van de uiteenlopende betrokken belangen. [Am. 3]

(19)  Verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie dient overeenkomstig deze verordening te worden verricht, of de eigenlijke verwerking nu in de Unie plaatsvindt of niet. Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging. De rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend.

(20)  Om te waarborgen dat personen niet worden uitgesloten van de bescherming waarop zij krachtens deze verordening recht hebben, dient op de verwerking van persoonsgegevens van betrokkenen in de Unie wonende betrokkenen door een niet in de Unie gevestigde verwerker deze verordening van toepassing te zijn wanneer de verwerking verband houdt met het aanbieden van goederen of diensten, ongeacht of deze verband houden met een betaling of niet, aan dergelijke betrokkenen of met het observeren van hun gedrag die betrokkenen. Om te bepalen of een dergelijke voor de verwerking verantwoordelijke goederen of diensten aan dergelijke betrokkenen in de Unie aanbiedt, moet worden nagegaan of de voor de verwerking verantwoordelijke klaarblijkelijk voornemens is diensten aan te bieden aan betrokkenen in één of meer lidstaten in de Unie. [Am. 4]

(21)  Om uit te maken of een verwerking kan worden beschouwd als “observeren/volgen van gedrag” van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, ongeacht de oorsprong van de gegevens, dan wel of andere gegevens over hen worden verzameld, met inbegrip van gegevens uit openbare registers en aankondigingen in de Unie die toegankelijk zijn buiten de Unie, met de bedoeling om meteen, of eventueel achteraf gegevensverwerkingstechnieken te gebruiken waarbij een “profiel” op een natuurlijke persoon wordt toegepast, in het bijzonder om besluiten over hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen. [Am. 5]

(22)  Wanneer uit hoofde van het internationale publiekrecht de nationale wet van een lidstaat van toepassing is, dient deze verordening ook van toepassing te zijn op een voor de verwerking verantwoordelijke die niet in de Unie is gevestigd, maar bijvoorbeeld actief is bij een diplomatieke vertegenwoordiging of een consulaire post.

(23)  De beschermingsbeginselen beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een persoon identificeerbaar is, dienen alle middelen in aanmerking te worden genomen waarvan redelijkerwijs te verwachten valt dat zij door de voor de verwerking verantwoordelijke, of door ieder ander worden gebruikt om de persoon direct of indirect te identificeren of uit te kiezen. Om uit te maken of van middelen redelijkerwijs te verwachten valt dat zij zullen worden gebruikt om de persoon te identificeren, dienen alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, in aanmerking te worden genomen, rekening houdend met de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkeling. De beschermingsbeginselen dienen bijgevolg niet van toepassing te zijn op anonieme gegevens, die zodanig anoniem zijn gemaakt dat de persoon op wie die aangezien het in dit geval niet gaat om gegevens betrekking hebben, niet identificeerbaar is betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische en onderzoeksdoeleinden. [Am. 6]

(24)  Bij het gebruik van onlinediensten kunnen natuurlijke personen worden gekoppeld aan online-identificatiemiddelen via hun Deze verordening dient van toepassing te zijn op verwerking waarbij identificatiemiddelen betrokken zijn via apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen en identificatiecookies. Dit kan sporen achterlaten die, in combinatie met unieke identificatoren en andere door de servers ontvangen informatie, kunnen worden gebruikt om profielen op te stellen van personen en personen te herkennen. Identificatienummers, locatiegegevens, online-identificatiemiddelen en andere specifieke factoren hoeven dus niet onder alle omstandigheden als persoonsgegevens te worden beschouwd. en radiofrequentie-identificatietags, tenzij deze identificatiemiddelen geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. [Am. 7]

(25)  Toestemming dient uitdrukkelijk te worden gegeven op elke passende wijze die de gebruiker in staat stelt door middel van hetzij een verklaring, hetzij een ondubbelzinnige, actieve handeling op basis van een keuze vrijelijk een specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, teneinde te waarborgen dat personen er zich bewust van zijn dat zij toestemming geven voor de verwerking van persoonsgegevens,. bijvoorbeeld door Ondubbelzinnige, actieve handelingen omvatten het bij een bezoek aan een internetwebsite op een vakje te klikken, of door een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilte, het louter gebruiken van een dienst of inactiviteit dient derhalve niet als toestemming te gelden. De toestemming dient te gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doelen dienen. Indien de betrokkene zijn toestemming moet geven na een elektronisch verzoek, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de betrokken dienst. [Am. 8]

(26)  Persoonsgegevens betreffende de gezondheid dienen met name alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van de betrokkene, informatie over de registratie van de persoon voor de verlening van gezondheidsdiensten, informatie over betalingen of voorwaarden voor gezondheidszorg met betrekking tot de persoon; een aan een persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van de persoon geldt voor gezondheidsdoeleinden; informatie over de persoon die tijdens de verstrekking van gezondheidszorg aan hem is verzameld; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van biologische monsters; de identificatie van een persoon als verstrekker van gezondheidszorg aan de betrokkene; of informatie over bv. ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de feitelijke fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnostiek.

(27)  De belangrijkste vestiging van een voor de verwerking verantwoordelijke in de Unie dient te worden bepaald op grond van objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten door een vaste vestiging, waar de voornaamste besluiten worden genomen over het doel van en de voorwaarden en de middelen voor de verwerking van persoonsgegevens. Dit criterium dient los te staan van het feit of de verwerking van de persoonsgegevens daadwerkelijk op die locatie plaatsvindt; de aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten zijn niet bepalend voor het belang van een vestiging en zijn dan ook geen doorslaggevende criteria om te bepalen of het om een belangrijkste vestiging gaat. De belangrijkste vestiging van de verwerker dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt.

(28)  Een groep van ondernemingen dient te bestaan uit een onderneming die zeggenschap uitoefent en de ondernemingen waarover zeggenschap wordt uitgeoefend, waarbij de onderneming die zeggenschap uitoefent de onderneming dient te zijn die overheersende invloed kan uitoefenen over de andere ondernemingen uit hoofde van eigendom, financiële deelneming of op haar van toepassing zijnde voorschriften, of op grond van de bevoegdheid om voorschriften inzake de bescherming van persoonsgegevens te doen uitvoeren.

(29)  Kinderen verdienen met betrekking tot hun persoonsgegevens extra bescherming, aangezien zij zich allicht minder bewust zijn van de risico’s, gevolgen, beschermingsmaatregelen en rechten in verband met de verwerking van persoonsgegevens. Voor de vaststelling of een persoon een kind is, dient in deze verordening de in het VN-Verdrag inzake de rechten van het kind vervatte definitie te worden overgenomen. Wanneer de verwerking plaatsvindt op grond van toestemming van de betrokkene in verband met het rechtstreeks aanbieden van goederen of diensten aan kinderen, dient toestemming te worden gegeven of machtiging tot toestemming te worden verleend door de ouder of voogd van het kind wanneer het kind jonger dan 13 jaar is. Wanneer kinderen de doelgroep zijn, dient op de leeftijd afgestemde taal te worden gebruikt. Andere grondslagen voor rechtmatige verwerking zoals redenen van algemeen belang moeten van toepassing blijven, bijvoorbeeld voor verwerking in de context van preventieve of adviseringsdiensten die rechtstreeks aan het kind worden aangeboden. [Am. 9]

(30)  Elke verwerking van persoonsgegevens dient ten opzichte van de betrokkenen eerlijk, rechtmatig en transparant te geschieden. Met name dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt expliciet en rechtmatig te zijn en te zijn vastgesteld bij het verzamelen van de gegevens. De gegevens dienen adequaat, ter zake dienend te zijn en beperkt te blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt; derhalve dient er met name voor te worden gezorgd dat de verzamelde gegevens niet excessief zijn en dat de opslagperiode van de gegevens tot een strikt minimum wordt beperkt. Persoonsgegevens dienen alleen te worden verwerkt indien het doeleinde van de verwerking niet op andere wijze kan worden verwezenlijkt. Alle redelijke maatregelen worden genomen om te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan nodig is, dient de voor de verwerking verantwoordelijke termijnen vast te stellen voor het wissen van persoonsgegevens of voor een periodieke toetsing.

(31)  Voor rechtmatige verwerking van persoonsgegevens is toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere wetgeving van de Unie of van de lidstaten als bedoeld in deze verordening. Indien een kind of een persoon niet handelingsbekwaam is, dient in het desbetreffende recht van de Unie of van de lidstaat te zijn vastgesteld onder welke voorwaarden de betreffende persoon zijn toestemming geeft of machtiging tot toestemming verleent. [Am. 10]

(32)  Wanneer de verwerking plaatsvindt op grond van toestemming van de betrokkene, dient het bewijs dat de betrokkene toestemming heeft gegeven voor de verwerking te worden geleverd door de voor de verwerking verantwoordelijke. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. Om te voldoen aan het beginsel van gegevensminimalisering mag de bewijslevering niet worden geïnterpreteerd als het verstrekken van de positieve identificatie van betrokkenen, tenzij dit noodzakelijk is. Net als bij regelingen in het burgerlijk recht (bijvoorbeeld Richtlijn 93/13/EEG(10)) moet het beleid inzake gegevensbescherming zo duidelijk en transparant mogelijk zijn. Het mag geen verborgen of nadelige bepalingen bevatten. Er kan geen toestemming worden gegeven voor de verwerking van persoonsgegevens van derden. [Am. 11]

(33)  Om te waarborgen dat het om vrije toestemming gaat, dient duidelijk te worden gemaakt dat toestemming geen geldige rechtsgrondslag is wanneer de betrokkene geen echte vrije keuze heeft en zijn toestemming derhalve niet kan weigeren of intrekken zonder nadelige gevolgen. Dit is met name het geval indien de voor de verwerking verantwoordelijke een overheidsinstantie is die krachtens haar overheidsbevoegdheden een verplichting kan opleggen en de toestemming niet kan worden beschouwd als uit vrije wil gegeven. Het gebruik van standaardkeuzes die de betrokkene dient te wijzigen om bezwaar te maken tegen de verwerking, zoals het gebruik van reeds aangekruiste vakjes, is geen uiting van vrije toestemming. Toestemming voor de verwerking van aanvullende persoonsgegevens die niet noodzakelijk zijn voor het verlenen van een dienst mag niet vereist zijn voor het gebruiken van de dienst. Wanneer de toestemming wordt ingetrokken, mag dit de beëindiging of niet-uitvoering van een dienst die afhankelijk is van de gegevens mogelijk maken. Als niet duidelijk kan worden vastgesteld wanneer het voorgenomen doel is verwezenlijkt, moet de voor de verwerking verantwoordelijke de betrokkene regelmatig informatie verstrekken over de verwerking en verzoeken zijn toestemming opnieuw te bevestigen. [Am. 12]

(34)  Toestemming kan geen rechtsgrondslag voor verwerking zijn wanneer er sprake is van een duidelijke onevenwichtigheid tussen de betrokkene en de voor de verwerking verantwoordelijke. Dit is met name het geval wanneer de betrokkene zich in een situatie van afhankelijkheid jegens de voor de verwerking verantwoordelijke bevindt, bijvoorbeeld als zijn persoonsgegevens worden verwerkt door zijn werkgever. Wanneer de voor de verwerking verantwoordelijke een overheidsinstantie is, zou er alleen sprake zijn van een onevenwichtigheid bij specifieke gegevensverwerkingsoperaties als deze overheidsinstantie krachtens haar overheidsbevoegdheden een verplichting kan opleggen en de toestemming niet kan worden beschouwd als uit vrije wil gegeven, gelet op het belang van de betrokkene. [Am. 13]

(35)  Verwerking die nodig is in het kader van een contract of een voorgenomen contract, dient rechtmatig te zijn.

(36)  Wanneer de verwerking wordt verricht omdat de voor de verwerking verantwoordelijke hiertoe wettelijk is verplicht of wanneer de verwerking nodig is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een rechtsgrondslag te hebben in recht van de Unie of van de lidstaat die voldoet aan de in het Handvest vervatte vereisten voor beperkingen van de rechten en vrijheden. Dit moet collectieve overeenkomsten omvatten die in het nationaal recht kunnen worden erkend als algemeen geldend. Ook dient in het recht van de Unie of van de lidstaat te worden vastgesteld of de voor de verwerking verantwoordelijke die belast is met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag een overheidsdienst of een andere publiekrechtelijke of privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn. [Am. 14]

(37)  De verwerking van persoonsgegevens dient ook als geoorloofd te worden beschouwd wanneer zij nodig is voor de bescherming van een belang dat voor het leven van de betrokkene essentieel is.

(38)  Het gerechtvaardigde belang van een de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, kan een rechtsgrondslag voor verwerking bieden, mits wordt voldaan aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke en mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren. Hierbij is een zorgvuldige beoordeling geboden, met name wanneer de betrokkene een kind is, aangezien kinderen specifieke bescherming verdienen. Mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren, dient verwerking die beperkt is tot pseudonieme gegevens te worden geacht te voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke. De betrokkene dient het recht te hebben kosteloos bezwaar te maken tegen de verwerking op gronden die verband houden met zijn bijzondere situatie. Om transparantie te waarborgen dient de voor de verwerking verantwoordelijke te worden verplicht de betrokkene uitdrukkelijk over de gerechtvaardigde belangen die worden nagestreefd en het recht van bezwaar te informeren, en ook te worden verplicht deze gerechtvaardigde belangen te staven. De belangen en grondrechten van de betrokkene wegen met name zwaarder dan het belang van de voor de verwerking verantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien het aan de wetgever is om de rechtsgrondslag te creëren voor gegevensverwerking door overheidsinstanties, dient deze rechtsgrond niet van toepassing te zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken. [Am. 15]

(39)  De verwerking van verkeersgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatieveiligheid, d.w.z. dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau bestand is tegen incidentele gebeurtenissen of onwettige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven gegevens in het gedrang brengen, en de beveiliging van de desbetreffende diensten die door deze netwerken en systemen worden geboden of via deze toegankelijk zijn, door overheidsinstanties, responsteams voor computernoodgevallen (Computer Emergency Response Teams, CERT’s), computercalamiteitenteams (Computer Security Incident Response Teams, CSIRT’s) aanbieders van elektronische communicatienetwerken of –diensten en aanbieders van beveiligingstechnologie en -diensten, is een gerechtvaardigd belang van de voor de verwerking verantwoordelijke. Zo kan er bijvoorbeeld sprake zijn van het verhinderen van onbevoegde toegang tot elektronischecommunicatienetwerken en van verspreiding van kwaadaardige codes, alsook van het stoppen van „denial of service”- aanvallen en van schade aan computers en elektronischecommunicatiesystemen. Dit beginsel is eveneens van toepassing op de verwerking van persoonsgegevens om onbevoegde toegang tot en misbruik van algemeen beschikbare netwerk- of informatiesystemen te beperken, zoals het op een zwarte lijst plaatsen van elektronische identificatiemiddelen. [Am. 16]

(39 bis)  Mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren, moet de preventie of beperking van vorderingen aan de zijde van de voor de verwerking verantwoordelijke worden geacht te worden uitgevoerd in het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en te voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke. Hetzelfde beginsel geldt ook voor de toepassing van rechtsvorderingen tegen een betrokkene, zoals de inning van schulden of vorderingen tot schadevergoeding en andere vormen van genoegdoening. [Am. 17]

(39 ter)  Mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren, moet de verwerking van persoonsgegevens voor direct marketing-doeleinden voor eigen en soortgelijke producten en diensten of ten behoeve van direct marketing per post worden geacht te worden uitgevoerd in het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en te voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke, indien uiterst zichtbare informatie over het recht op bezwaar en over de bron van de gegevens wordt verstrekt. De verwerking van zakelijke contactgegevens moet algemeen worden geacht te worden uitgevoerd in het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en te voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke. Hetzelfde moet gelden voor de verwerking van persoonsgegevens die duidelijk door de betrokkene openbaar zijn gemaakt. [Am. 18]

(40)  De verwerking van persoonsgegevens voor andere doeleinden dient alleen te worden toegestaan als de verwerking verenigbaar is met de doeleinden waarvoor de gegevens in eerste instantie zijn verzameld, met name wanneer de verwerking nodig is voor historisch, statistisch of wetenschappelijk onderzoek. Wanneer het andere doeleinde niet verenigbaar is met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld, dient de voor de verwerking verantwoordelijke toestemming van de betrokkene te verkrijgen voor de verwerking voor dit andere doeleinde of de verwerking op een andere rechtsgrondslag te baseren, in het bijzonder wanneer hierin wordt voorzien door de wetgeving van de Unie of door de wetgeving van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is. Er dient in ieder geval voor te worden gezorgd dat de in deze verordening vervatte beginselen worden toegepast en dat de betrokkene wordt geïnformeerd over dergelijke andere doeleinden. [Am. 19]

(41)  Persoonsgegevens die door hun aard bijzonder gevoelig en kwetsbaar zijn wat betreft de grondrechten of de persoonlijke levenssfeer, verdienen specifieke bescherming. Dergelijke gegevens dienen niet te worden verwerkt, tenzij de betrokkene hier uitdrukkelijk toestemming voor geeft. Niettemin dient uitdrukkelijk in uitzonderingen op dit verbod te worden voorzien met het oog op specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van wettige activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken. [Am. 20]

(42)  Er dient ook van het verbod op de verwerking van categorieën gevoelige gegevens te kunnen worden afgeweken, indien de wet hierin voorziet en er passende waarborgen worden geboden ter bescherming van persoonsgegevens en andere grondrechten, op grond van een zwaarwegend algemeen belang en in het bijzonder voor gezondheidsdoeleinden, zoals volksgezondheid en sociale bescherming en het beheer van gezondheidsdiensten, met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering, of voor historisch, statistisch en wetenschappelijk onderzoek, of voor archiefdiensten. [Am. 21]

(43)  Bovendien vindt de verwerking van persoonsgegevens door overheidsinstanties ter verwezenlijking van in het constitutionele recht of in het volkenrecht vastgelegde doelstellingen van officieel erkende religieuze verenigingen plaats op grond van een algemeen belang.

(44)  Als het bij verkiezingsactiviteiten voor de goede werking van de democratie in een lidstaat vereist is dat politieke partijen gegevens over de politieke opvattingen van personen verzamelen, kan de verwerking van zulke gegevens op grond van een algemeen belang worden toegelaten, mits er passende garanties worden vastgesteld.

(45)  Wanneer de door de voor de verwerking verantwoordelijke in de door hem verwerkte gegevens geen natuurlijk persoon kan identificeren, hoeft hij niet te worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen ter identificatie van de betrokkene. Bij een verzoek om toegang moet de voor de verwerking verantwoordelijke bevoegd zijn de betrokkene aanvullende informatie te vragen om de gezochte persoonsgegevens te kunnen vinden. Als de betrokkene deze gegevens kan verstrekken, mogen de voor de verwerking verantwoordelijken niet over de mogelijkheid beschikken om een gebrek aan informatie in te roepen als reden om een verzoek om toegang te weigeren. [Am. 22]

(46)  Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of de betrokkene eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal worden gebruikt. Dit geldt in het bijzonder voor onlineadvertenties en andere situaties waarin het door zowel het grote aantal spelers als de technologische complexiteit van de praktijk voor een individu moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn of haar persoonsgegevens worden verzameld. Aangezien kinderen specifieke bescherming verdienen, dient wanneer de verwerking specifiek betrekking heeft op een kind, de informatie en communicatie in zulke duidelijke en eenvoudige taal te worden gesteld dat het kind deze gemakkelijk kan begrijpen.

(47)  Er dienen procedures te worden vastgesteld om de betrokkene in staat te stellen zijn of haar rechten uit hoofde van deze verordening uit te oefenen, zoals mechanismen om kosteloos te verzoeken om, met name, toegang tot gegevens, rectificatie, uitwissing en uitoefening van het recht van bezwaar te krijgen. De voor de verwerking verantwoordelijke dient verplicht te zijn binnen een gestelde redelijke termijn te reageren op een verzoek van de betrokkene en een eventuele weigering om gehoor te geven aan het verzoek van de betrokkene te motiveren. [Am. 23]

(48)  Overeenkomstig de beginselen van eerlijke en transparante verwerking dient de betrokkene met name te worden ingelicht over het feit dat er verwerking plaatsvindt en waartoe, en te worden gewezen op over hoe lang de bewaringstermijn van de gegevens, waarschijnlijk zullen worden bewaard voor elk doeleinde, over de vraag of de gegevens worden doorgegeven aan derden of derde landen, over het bestaan van mogelijkheden om bezwaar aan te tekenen en over het het recht van toegang, rectificatie of uitwissing, en het recht een klacht in te dienen. Indien de gegevens van de betrokkene moeten worden verkregen, dient hem te worden medegedeeld of hij verplicht is de gegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Deze informatie dient te worden verstrekt, wat eveneens kan betekenen dat ze ruim beschikbaar moet worden gesteld, aan de betrokkene na de verstrekking van vereenvoudigde informatie in de vorm van gestandaardiseerde icoontjes. Dit betekent eveneens dat persoonsgegevens dusdanig moeten worden verwerkt dat de betrokkene in staat is zijn rechten daadwerkelijk uit te oefenen. [Am. 24]

(49)  De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem of haar te worden meegedeeld bij het verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene zijn verkregen, binnen redelijke tijd, naargelang de specifieke omstandigheden. Wanneer de gegevens rechtmatig kunnen worden verstrekt aan een andere ontvanger, dient de betrokkene te worden meegedeeld wanneer de gegevens voor het eerst aan de ontvanger worden verstrekt.

(50)  Deze verplichting is echter overbodig wanneer de betrokkene al over op de hoogte is van deze informatie beschikt, of wanneer de vastlegging of mededeling van de gegevens uitdrukkelijk bij wet is voorgeschreven of de verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite zou kosten. Dit laatste zou met name het geval kunnen zijn wanneer verwerking nodig is voor historisch, statistisch of wetenschappelijk onderzoek; hierbij mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke compenserende maatregelen kunnen worden getroffen. [Am. 25]

(51)  Eenieder dient over het recht te beschikken om toegang te verkrijgen tot de gegevens die betreffende hem zijn verzameld en dit recht eenvoudig te kunnen uitoefenen, zodat hij zich van de verwerking op de hoogte kan stellen en zich van de rechtmatigheid ervan kan vergewissen. Elke betrokkene dient er dan ook recht op te hebben, te weten en te worden meegedeeld voor welke doeleinden de gegevens worden verwerkt, hoe lang zij naar schatting worden bewaard, welke ontvangers de gegevens ontvangen, welke algemene logica er ten grondslag ligt aan de verwerking van de gegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen zouden kunnen zijn van een dergelijke verwerking. Dit recht dient geen afbreuk te doen aan de rechten en vrijheden van anderen, met inbegrip van het zakengeheim of de intellectuele eigendom, en met name aan bijvoorbeeld met betrekking tot het auteursrecht dat de software beschermt. Deze overwegingen mogen er echter niet toe leiden dat de betrokkene alle informatie wordt onthouden. [Am. 26]

(52)  De voor de verwerking verantwoordelijke dient, met name met betrekking tot onlinediensten en online-identificatiemiddelen, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om toegang verzoekt. Een voor de verwerking verantwoordelijke dient persoonsgegevens niet uitsluitend te bewaren om op eventuele verzoeken te kunnen reageren.

(53)  Eenieder dient het recht te hebben persoonsgegevens over zichzelf te laten rectificeren en het “recht om te worden vergeten wissen”, als het bewaren van dergelijke gegevens niet in overeenstemming is met deze verordening. Betrokkenen dienen met name het recht te hebben dat hun persoonsgegevens worden uitgewist en niet verder worden verwerkt als de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, als de betrokkenen hun toestemming voor de verwerking hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of als de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is uitermate relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico’s van verwerking, en dergelijke persoonsgegevens later wil verwijderen, met name van het internet. Gegevens dienen echter langer te kunnen worden bewaard als dit nodig is voor historisch, statistisch en wetenschappelijk onderzoek, om redenen van algemeen belang op het gebied van de volksgezondheid, voor de uitoefening van het recht op vrijheid van meningsuiting, wanneer de wet dit voorschrijft of wanneer er een reden is om de verwerking van gegevens te beperken in plaats van de gegevens te wissen. Het recht om gegevens te laten wissen moet ook niet van toepassing zijn indien het bewaren van persoonsgegevens noodzakelijk is voor de uitvoering van een contract met de betrokkene, of indien er een wettelijke verplichting bestaat om deze gegevens te bewaren. [Am. 27]

(54)  Ter versterking van het “recht om gegevens te worden vergeten laten wissen” door onlinetoepassingen, dient het recht op uitwissing van gegevens zodanig te worden uitgebreid, dat de voor de verwerking verantwoordelijke die de persoonsgegevens zonder wettelijke rechtvaardiging openbaar heeft gemaakt, verplicht is alle nodige stappen te ondernemen om de gegevens te laten wissen, eveneens door derden die dergelijke gegevens verwerken, ervan op , onverminderd het recht van de hoogte te stellen dat de betrokkene hun verzoekt iedere koppeling met, of kopie of reproductie van die persoonsgegevens uit te wissen. De voor de verwerking verantwoordelijke dient alle redelijke maatregelen te nemen, waaronder technische maatregelen, om te waarborgen dat voor gegevens waarvan de openbaarmaking zijn verantwoordelijkheid is, deze derden daadwerkelijk worden geïnformeerd. Ten aanzien van openbaarmaking van persoonsgegevens door een derde dient de voor de verwerking verantwoordelijke te worden beschouwd als verantwoordelijk voor de openbaarmaking als hij de derde toestemming heeft verleend voor de openbaarmaking. om schadevergoeding te eisen. [Am. 28]

(54 bis)  Gegevens waarvan de betrokkene de juistheid betwist en waarvan niet kan worden vastgesteld of zij juist dan wel onjuist zijn, worden afgeschermd tot wanneer de kwestie opgehelderd is. [Am. 29]

(55)  Om de controle over hun eigen gegevens en hun recht van toegang verder te versterken, dienen, wanneer persoonsgegevens elektronisch en in een gestructureerd en algemeen gebruikt formaat worden verwerkt, betrokkenen het recht te hebben om van de gegevens over hen ook een kopie in een elektronisch en algemeen gebruikt formaat te ontvangen. De betrokkenen dienen deze door hen verstrekte gegevens ook van de ene geautomatiseerde toepassing, zoals een sociaal netwerk, naar de andere te kunnen doorgeven. Voor de verwerking verantwoordelijken dienen te worden aangemoedigd om interoperabele formaten te ontwikkelen die de meeneembaarheid van gegevens mogelijk maakt. Dit dient van toepassing te zijn wanneer de betrokkenen de gegevens aan het geautomatiseerde verwerkingssysteem heeft verstrekt, door zijn of haar toestemming te geven dan wel een overeenkomst uit te voeren. Aanbieders van diensten van de informatiemaatschappij mogen de doorgifte van die gegevens voor de verlening van hun diensten niet verplicht stellen. [Am. 30]

(56)  Wanneer persoonsgegevens rechtmatig kunnen worden verwerkt ter vrijwaring van een vitaal belang van de betrokkene, of op grond van een algemeen belang, overheidsgezag of een wettig belang van een voor de verwerking verantwoordelijke, dient een betrokkene niettemin op eenvoudige en doeltreffende wijze kosteloos bezwaar te kunnen maken tegen de verwerking van gegevens die op hem of haar betrekking hebben. Het dient aan de voor de verwerking verantwoordelijke te zijn om te bewijzen dat zijn of haar gerechtvaardigde belangen wellicht zwaarder wegen dan de grondrechten en fundamentele vrijheden van de betrokkene. [Am. 31]

(57)  Wanneer persoonsgegevens worden verwerkt ten behoeve van direct marketing, dient de betrokkene het recht te hebben om hier op eenvoudige en doeltreffende wijze kosteloos heeft bezwaar tegen te maken tegen de verwerking, dient de voor de verwerking verantwoordelijke dit expliciet aan de betrokkene aan te bieden op een begrijpelijke manier, in begrijpelijke vorm en in duidelijke en eenvoudige taal, en hij dient te zorgen voor een duidelijk onderscheid met andere informatie. [Am. 32]

(58)  Iedere Onverminderd de rechtmatigheid van de gegevensverwerking moet iedere natuurlijke persoon dient het recht hebben om bezwaar te hebben niet te worden onderworpen aan een maatregel die is gebaseerd op profilering door middel van geautomatiseerde verwerking. Een dergelijke maatregel maken tegen profilering. Profilering leidend tot maatregelen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen, dient echter wel mogelijk enkel toegelaten te zijn wanneer deze dit uitdrukkelijk is toegestaan bij de wet, of wordt genomen uitgevoerd in het kader van het sluiten of uitvoeren van een overeenkomst of wanneer de betrokkene zijn toestemming heeft gegeven. Op een dergelijke verwerking dienen passende waarborgen van toepassing te zijn, waaronder specifieke informering van de betrokkene, het recht op menselijke tussenkomst beoordeling en de bepaling dat een dergelijke maatregel geen betrekking mag hebben op kinderen. Dergelijke maatregelen mogen niet leiden tot discriminatie van individuen op grond van ras of etnische afkomst, politieke opvattingen, godsdienst of overtuiging, het lidmaatschap van een vakbond, seksuele gerichtheid of genderidentiteit. [Am. 33]

(58 bis)   Er moet van worden uitgegaan dat profilering die enkel gebaseerd is op de verwerking van pseudonieme gegevens de belangen, rechten of vrijheden van de betrokkene niet in aanzienlijke mate treft. Indien profilering, gebaseerd op een enkele bron van pseudonieme gegevens of op de samenvoeging van pseudonieme gegevens afkomstig van verschillende bronnen, de voor de verwerking verantwoordelijke in staat stelt om pseudonieme gegevens te koppelen aan een specifieke betrokkene, mogen de verwerkte gegevens niet langer als pseudoniem worden beschouwd. [Am. 34]

(59)  In het recht van de Unie of van de lidstaat kunnen beperkingen worden gesteld aan de specifieke beginselen en de rechten van informatie, rectificatie en wissen of het recht op toegang, rectificatie, uitwissing, gegevensoverdraagbaarheid en en gegevensverkrijging, het recht op bezwaar, alsook aan maatregelen gebaseerd op profilering, aan de melding aan de betrokkene van een inbreuk op persoonsgegevens en aan bepaalde daarmee verband houdende verplichtingen van de voor de verwerking verantwoordelijken, wanneer dat in een democratische samenleving noodzakelijk en proportioneel is voor het beschermen van de openbare veiligheid, waaronder de bescherming van het menselijk leven – met name bij natuurlijke of door de mens veroorzaakte rampen–, voor het voorkomen, onderzoeken en vervolgen van strafbare feiten of van schendingen van de beroepscodes voor gereglementeerde beroepen, voor het beschermen van andere specifieke en welbepaalde algemene belangen van de Unie of een lidstaat, met name een gewichtig economisch of financieel belang van de Unie of een lidstaat, of voor het beschermen van de betrokkene of de rechten en vrijheden van anderen. Deze beperkingen moeten in overeenstemming zijn met de vereisten van het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. [Am. 35]

(60)  Er dient te worden voorzien in alomvattende verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke voor elke verwerking van persoonsgegevens door of namens de voor de verwerking verantwoordelijke, met name met betrekking tot documentatie, gegevensbeveiliging, effectbeoordelingen, de functionaris voor gegevensbescherming en toezicht door gegevensbeschermingsautoriteiten. Met name dient de voor de verwerking verantwoordelijke erop toe te zien en in staat te worden verplicht zijn aan te tonen dat elke verwerking overeenkomstig deze verordening geschiedt. Dit moet worden getoetst door onafhankelijke interne of externe controleurs. [Am. 36]

(61)  Ter bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens zijn zowel bij het ontwerpen als bij de uitvoering van de verwerking passende technische en organisatorische maatregelen nodig, om te waarborgen dat aan de bepalingen van deze verordening wordt voldaan. Teneinde overeenstemming met deze verordening te waarborgen en aan te tonen, dient de voor de verwerking verantwoordelijke intern beleid vast te stellen en passende maatregelen te treffen, die in het bijzonder voldoen aan de beginselen inzake privacy by design en by default. Het beginsel van gegevensbescherming by design vereist dat gegevensbescherming wordt ingebouwd gedurende de gehele levenscyclus van de technologie, van het allereerste ontwerpstadium tot aan de feitelijke uitrol, het gebruik en de uiteindelijke vernietiging ervan. Dit dient eveneens de verantwoordelijkheid te omvatten voor de producten en diensten die worden gebruikt door de voor de verwerking verantwoordelijke of de verwerker. Het beginsel van gegevensbescherming by default vereist dat privacyinstellingen op diensten en producten standaard voldoen aan de algemene beginselen van gegevensbescherming, zoals gegevensminimalisering en beperking van doeleinden. [Am. 37]

(62)  Het is voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van voor de verwerking verantwoordelijken en verwerkers noodzakelijk, onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, ook wanneer de voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking samen met andere voor de verwerking verantwoordelijken vaststelt, of wanneer een verwerking wordt uitgevoerd namens een voor de verwerking verantwoordelijke. De regeling tussen de gemeenschappelijk voor de verwerking verantwoordelijken moet naar behoren weergeven welke effectieve rollen de gezamenlijk voor de verwerking verantwoordelijken vervullen en wat hun onderlinge verhouding is. De verwerking van persoonsgegevens op grond van deze verordening moet de toestemming voor een voor de verwerking verantwoordelijke omvatten om de gegevens door te geven aan een gezamenlijk voor de verwerking verantwoordelijke of aan een verwerker voor de verwerking van de gegevens namens hem of haar. [Am. 38]

(63)  Wanneer de verwerking van persoonsgegevens van betrokkenen in de Unie wonende betrokkenen gebeurt door een niet in de Unie gevestigde verwerker verband houdt met het aanbieden van goederen of diensten aan dergelijke betrokkenen of met het observeren van hun gedrag, dient de voor de verwerking verantwoordelijke een vertegenwoordiger aan te wijzen, tenzij de voor de verwerking verantwoordelijke is gevestigd in een derde land dat een passend beschermingsniveau waarborgt, de verwerking betrekking heeft op minder dan 5 000 betrokkenen in een achtereenvolgende periode van 12 maanden en er geen speciale categorieën persoonsgegevens worden verwerkt, de voor de voor de verwerking verantwoordelijke een kleine of middelgrote onderneming of een overheidsinstantie of –lichaam is, of de voor de verwerking verantwoordelijke dergelijke betrokkenen slechts incidenteel goederen of diensten aanbiedt. De vertegenwoordiger dient namens de voor de verwerking verantwoordelijke op te treden en kan door iedere toezichthoudende autoriteit worden benaderd. [Am. 39]

(64)  Om uit te maken of een voor de verwerking verantwoordelijke slechts incidenteel goederen en diensten aanbiedt aan betrokkenen die in de Unie wonen, dient te worden vastgesteld of uit de algemene activiteiten van de voor de verwerking verantwoordelijke duidelijk blijkt dat het aanbieden van goederen en diensten aan dergelijke betrokkenen slechts een nevenactiviteit is. [Am. 40]

(65)  Voor het aantonen van Om in staat te zijn om overeenstemming met deze verordening dient aan te tonen, moet de voor de verwerking verantwoordelijke of de verwerker elke verwerking te documenteren. de nodige documentatie bijhouden om te voldoen aan de eisen die in deze verordening zijn vastgesteld. Elke voor de verwerking verantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en deze documentatie op verzoek te verstrekken met het oog op het gebruik daarvan voor het toezicht op verwerkingsactiviteiten om de naleving van de verordening te beoordelen. Goede praktijken en naleving zijn echter van even groot belang en dienen evenveel aandacht te krijgen als de documenten als zodanig. [Am. 41]

(66)  Teneinde de veiligheid te waarborgen en te voorkomen dat verwerking plaatsvindt die strijdig is met deze verordening, dienen de voor de verwerking verantwoordelijke en de verwerker de risico’s die de verwerking meebrengt te beoordelen en maatregelen te treffen om deze risico’s te beperken. Deze maatregelen dienen een passend niveau van veiligheid te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging enerzijds en de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen anderzijds. Bij het vaststellen van technische normen en organisatorische maatregelen voor de veiligheid van de verwerking dient de Commissie technologische neutraliteit, interoperabiliteit en innovatie te bevorderen en zo nodig samen te werken worden bevorderd en dient samenwerking met derde landen zo nodig te worden aangemoedigd. [Am. 42]

(67)  Een inbreuk op de persoonlijke gegevens kan, wanneer dit probleem niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokkene aanzienlijk economisch verlies en maatschappelijke schade, inclusief identiteitsfraude, tot gevolg hebben. Zodra een De voor de verwerking verantwoordelijke weet dat een dergelijke inbreuk heeft plaatsgevonden, dient hij de toezichthoudende autoriteit daarvan dan ook onverwijld, en waar mogelijk dit wil zeggen binnen 24 de 72 uur, op de hoogte te stellen. Wanneer dit niet binnen 24 uur kan worden gerealiseerd, In voorkomend geval dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging. Wanneer de inbreuk negatieve gevolgen kan hebben voor de persoonsgegevens, dienen de betrokkenen daarvan zonder onnodig uitstel in kennis te worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. Een inbreuk moet worden geacht negatieve gevolgen te hebben voor de persoonsgegevens of de persoonlijke levenssfeer van een betrokkene, wanneer die inbreuk kan leiden tot bijvoorbeeld identiteitsdiefstal of ‑fraude, lichamelijke schade, ernstige vernedering of aantasting van de reputatie. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden en aanbevelingen te geven over hoe de betrokkene mogelijke negatieve gevolgen kan beperken. De betrokkenen dienen zo snel als redelijkerwijs mogelijk is, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door haarzelf of andere relevante autoriteiten (zoals rechtshandhavingsautoriteiten) aangereikte richtsnoeren, in kennis te worden gesteld. Zo zouden betrokkenen bijvoorbeeld onverwijld in kennis moeten worden gesteld om hun de gelegenheid te bieden een onmiddellijke bedreiging te beperken, terwijl een langere termijn gerechtvaardigd kan zijn als er passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken. [Am. 43]

(68)  Om te bepalen of een inbreuk op persoonsgegevens onverwijld aan de toezichthoudende autoriteit en de betrokkene is gemeld, dient te worden vastgesteld of de voor de verwerking verantwoordelijke passende technologische beschermingsmaatregelen en organisatorische maatregelen heeft genomen om onmiddellijk uit te maken of inbreuk op persoonsgegevens heeft plaatsgevonden en de toezichthoudende autoriteiten en de betrokkene zo snel mogelijk te informeren, voordat er persoonlijke of economische belangen worden geschaad, waarbij met name rekening dient te worden gehouden met de aard en ernst van de inbreuk op de persoonsgegevens en de gevolgen en negatieve effecten daarvan voor de betrokkene.

(69)  Bij de vaststelling van gedetailleerde regels betreffende het formaat en de procedures voor het melden van inbreuken in verband met persoonsgegevens dient de nodige aandacht te worden besteed aan de omstandigheden van de inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet met behulp van adequate technische beschermingsmaatregelen waren beschermd zodat de waarschijnlijkheid van identiteitsfraude of andere vormen van misbreuk in de praktijk beperkt was. Bovendien dient bij dergelijke regels en procedures rekening te worden gehouden met de gerechtvaardigde belangen van de rechtshandhavingsautoriteiten in gevallen waarin vroegtijdige verstrekking het onderzoek naar de omstandigheden van een inbreuk nodeloos zou hinderen.

(70)  Richtlijn 95/46/EG voorzag in een algemene verplichting om verwerking van persoonsgegevens aan de toezichthoudende autoriteiten te melden. Deze verplichting leidt tot administratieve en financiële lasten, maar heeft niet in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens. Derhalve dient deze ongedifferentieerde algemene kennisgevingsplicht te worden afgeschaft en te worden vervangen door doeltreffende procedures en mechanismen die gericht zijn op verwerkingsoperaties die naar hun aard, reikwijdte of doeleinden waarschijnlijk specifieke risico’s voor de rechten en vrijheden van betrokkenen meebrengen. In dergelijke gevallen dient de voor de verwerking verantwoordelijke of de verwerker voorafgaand aan de verwerking een privacyeffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de geplande maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze verordening is voldaan.

(71)  Dit dient met name te gelden voor nieuw opgezette grootschalige bestanden die bedoeld zijn voor het verwerken van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau en waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden.

(71 bis)  Privacyeffectbeoordelingen zijn de essentiële spil van elk duurzaam gegevensbeschermingskader en zorgen ervoor dat ondernemingen zich vanaf het allereerste begin bewust zijn van alle mogelijke gevolgen van hun gegevensverwerkingen. Indien privacyeffectbeoordelingen grondig worden uitgevoerd, kan de kans op gegevensinbreuk en inbreuk op de privacy verregaand worden beperkt. Effectbeoordelingen op het gebied van gegevensverwerking moeten dientengevolge consequent betrekking hebben op het beheer van de gehele levenscyclus van persoonsgegevens, vanaf verzameling tot aan verwerking tot aan verwijdering, waarbij de voorgenomen verwerkingen nauwkeurig worden beschreven, alsmede de risico's voor de rechten en vrijheden van betrokkenen, de voorgenomen maatregelen ter beteugeling van de risico's, de waarborgen, de veiligheidsmaatregelen en de mechanismen ter naleving van deze verordening. [Am. 44]

(71 ter)  Voor de verwerking verantwoordelijken dienen zich gedurende de hele levenscyclus van persoonsgegevens - van de vergaring via de verwerking tot de verwijdering ervan - te richten op de bescherming daarvan door vanaf het allereerste begin te investeren in een duurzaam kader voor gegevensbeheer en dit middels een uitgebreid nalevingsmechanisme ten uitvoer te leggen. [Am. 45]

(72)  Onder bepaalde omstandigheden kan het verstandig en nuttig zijn dat de privacyeffectbeoordeling zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of ‑lichamen een gemeenschappelijk applicatie- of verwerkingsplatform willen opzetten of wanneer meerdere voor de verwerking verantwoordelijken van plan zijn een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele bedrijfstak, of een segment daarvan, of voor een gangbare horizontale activiteit.

(73)  Privacyeffectbeoordelingen dienen te worden verricht door een overheidsinstantie of –lichaam, indien een dergelijke beoordeling niet al is uitgevoerd in het kader van de aanneming van de nationale wet waarop de vervulling van de taken van de overheidsinstantie of het overheidslichaam is gebaseerd en waarin de specifieke verwerking of reeks verwerkingen wordt geregeld. [Am. 46]

(74)  Wanneer een privacyeffectbeoordeling uitwijst dat verwerking bijvoorbeeld door het gebruik van specifieke nieuwe technologieën gepaard gaat met grote specifieke risico’s voor de rechten en vrijheden van betrokkenen, zoals het uitsluiten van personen van hun recht, dienen voor het begin van de verwerkingen de functionaris voor gegevensbescherming of de toezichthoudende autoriteiten te worden geraadpleegd over gevoelige activiteiten die mogelijk niet in overeenstemming zijn met deze verordening, en zijn voorstellen geboden om de situatie te verbeteren. Een dergelijke raadpleging van de toezichthoudende autoriteit dient ook te worden uitgevoerd in het kader van de voorbereiding van een door het nationale parlement aan te nemen maatregel of op basis van een dergelijke wettelijke maatregel, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen. [Am. 47]

(74 bis)  Effectbeoordelingen kunnen alleen van nut zijn indien voor de verwerking verantwoordelijken ervoor zorgen dat zij de oorspronkelijk erin vervatte beloften naleven. Voor de verwerking verantwoordelijken moeten daarom periodieke evaluaties inzake gegevensbescherming uitvoeren waaruit blijkt dat de ingestelde mechanismen voor gegevensverwerking in overeenstemming zijn met de in de effectbeoordeling inzake gegevensbescherming gedane toezeggingen. Verder moet blijken dat de voor de verwerking verantwoordelijke in staat is de onafhankelijke keuzes van de betrokkenen te eerbiedigen. Indien er inconsistenties uit de evaluatie blijken, dienen deze bovendien in de evaluatie te worden uitgelicht en moeten er aanbevelingen worden gedaan voor het bewerkstelligen van volledige naleving. [Am. 48]

(75)  Wanneer de verwerking wordt uitgevoerd in de overheidssector of wanneer de verwerking in de particuliere sector wordt uitgevoerd door een grote onderneming betrekking heeft op meer dan 5 000 betrokkenen binnen een periode van 12 maanden, of wanneer de kernactiviteiten, ongeacht de grootte van de onderneming, verwerkingen omvatten van gevoelige gegevens, of verwerkingen die regelmatig en stelselmatig toezicht vereisen, dient iemand de voor de verwerking verantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. Wanneer wordt nagegaan of gegevens over een groot aantal betrokkenen worden verwerkt, moet geen rekening worden gehouden met gearchiveerde gegevens die dusdanig beperkt zijn dat ze niet vallen onder de normale toegangs- en verwerkingsactiviteiten van de voor de verwerking verantwoordelijke en niet langer kunnen worden gewijzigd. Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, of zij nu in dienst van de voor de verwerking verantwoordelijke zijn of niet en of zij deze opdracht nu voltijds uitvoeren of niet, en ze dienen te genieten van speciale bescherming tegen ontslag. De uiteindelijke verantwoordelijkheid moet bij de leiding van een organisatie blijven berusten. De functionaris voor gegevensbescherming moet met name worden geraadpleegd voordat systemen voor de geautomatiseerde verwerking van persoonsgegevens worden ontworpen, aangekocht, ontwikkeld en opgezet, om de beginselen van privacy by design en privacy by default te kunnen naleven. [Am. 49]

(75 bis)  De functionaris voor gegevensbescherming dient ten minste over de volgende kwalificaties te beschikken: brede kennis van de inhoud en toepassing van de wet inzake gegevensbescherming, met inbegrip van technische en organisatorische maatregelen en procedures; deskundig betreffende de technische vereisten voor privacy by design, privacy by default en gegevensbeveiliging; sectorspecifieke kennis in overeenstemming met de grootte van de voor de verwerking verantwoordelijke of de verwerker en de gevoeligheid van de te verwerken gegevens; het vermogen om inspecties en raadplegingen te verrichten, om documentatie te verzamelen en logbestanden te analyseren; en het vermogen om met werknemersvertegenwoordigers te werken. De voor de verwerking verantwoordelijke moet de functionaris voor gegevensbescherming de kans bieden deel te nemen aan voortgezette opleiding om de gespecialiseerde kennis te onderhouden die hij of zij nodig heeft bij de uitvoering van zijn of haar taken. Om tot functionaris voor gegevensbescherming aangewezen te worden is het niet absoluut noodzakelijk dat de respectieve functionaris zich voltijds van zijn taken kwijt. [Am. 50]

(76)  Verenigingen en andere organen die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, dienen te worden aangemoedigd om, na raadpleging van de vertegenwoordigers van de werknemers, gedragscodes op te stellen, binnen de grenzen van deze verordening, teneinde de doeltreffende uitvoering van deze verordening in de praktijk te bevorderen, rekening houdend met het specifieke karakter van de verwerkingen in sommige sectoren. Zulke codes moeten het voor de sector eenvoudiger maken om deze verordening na te leven. [Am. 51]

(77)  Teneinde de transparantie en naleving van deze verordening te versterken, dient het instellen van certificeringsmechanismen en gegevensbeschermingszegels en ‑merktekens gestandaardiseerde merktekens te worden bevorderd, zodat betrokkenen snel, betrouwbaar en controleerbaar het beschermingsniveau van relevante producten en diensten kunnen beoordelen. Een "Europese Gegevensbeschermingszegel" dient op Europees niveau te worden ingevoerd om vertrouwen te scheppen bij betrokkenen, alsmede rechtszekerheid te bieden aan de voor de verwerking verantwoordelijken en tegelijkertijd Europese gegevensbeschermingsnormen te exporteren zodat niet-Europese bedrijven dankzij hun certificering makkelijker toe kunnen treden tot Europese markten. [Am. 52]

(78)  Grensoverschrijdend verkeer van persoonsgegevens is noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de internationale samenwerking. De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten mee met betrekking tot de bescherming van persoonsgegevens. Wanneer persoonsgegevens echter van de Unie naar derde landen of internationale organisaties worden overgedragen, mag dit niet ten koste gaan van het beschermingsniveau waarvan personen in de Unie door deze verordening verzekerd zijn. Doorgifte naar derde landen mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening.

(79)  Deze verordening doet geen afbreuk aan internationale overeenkomsten die de Unie en derde landen hebben gesloten om de doorgifte van persoonsgegevens te regelen en waarin passende waarborgen voor de betrokkenen zijn opgenomen die zorgen voor een passende mate van bescherming van de grondrechten van burgers. [Am. 53]

(80)  De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, of een gebied of een verwerkingssector in een derde land, of een internationale organisatie een passend niveau van bescherming van persoonsgegevens bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die geacht worden een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar de betrokken landen worden doorgegeven zonder dat verdere toestemming noodzakelijk is. De Commissie kan eveneens besluiten om, nadat zij het derde land daarvan in kennis heeft gesteld en haar beweegredenen volledig heeft toegelicht, een dergelijk besluit in te trekken. [Am. 54]

(81)  Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land in aanmerking te nemen in welke mate de rechtsstaat, de toegang tot de rechter en de internationale mensenrechtennormen in het derde land worden geëerbiedigd.

(82)  De Commissie kan tevens besluiten dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt. Wetgeving die voorziet in extraterritoriale toegang tot in de Unie verwerkte persoonsgegevens zonder toestemming krachtens het recht van de Unie of van de lidstaat, dient te worden beschouwd als een teken van een gebrekkig beschermingsniveau. De doorgifte van persoonsgegevens naar dat derde land dient dan te worden verboden. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de betrokken derde landen en internationale organisaties. [Am. 55]

(83)  Indien er geen besluit is genomen waarbij een beschermingsniveau passend wordt verklaard, dient de voor de verwerking verantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkenen. Dergelijke passende maatregelen kunnen erin bestaan gebruik te maken van bindende bedrijfsvoorschriften, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door een toezichthoudende autoriteit of contractbepalingen die zijn goedgekeurd door een toezichthoudende autoriteit. of andere geschikte en evenredige maatregelen die gerechtvaardigd zijn in het licht van alle omstandigheden van een gegevensbewerking of een reeks van gegevensbewerkingen en die zijn goedgekeurd door een toezichthoudende autoriteit Deze passende waarborgen moeten de eerbiediging van de rechten van betrokkenen handhaven op een manier die passend is voor verwerkingen binnen de EU, in het bijzonder met betrekking tot doelbinding, recht tot toegang, rectificatie, uitwissing en schadevergoeding. Deze waarborgen moeten met name zorgen voor de naleving van de beginselen met betrekking tot de verwerking van persoonsgegevens, de rechten van de betrokkene waarborgen, zorgen voor effectieve vorderingsmechanismen, zorgen voor de naleving van de beginselen inzake privacy by design en by default en het bestaan van een functionaris voor gegevensbescherming verzekeren. [Am. 56]

(84)  Dat de voor de verwerking verantwoordelijke of verwerker kan gebruikmaken van modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de modelbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen of geen andere bepalingen of bijkomende waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of fundamentele vrijheden van de betrokkenen. De door de Commissie vastgestelde modelbepalingen inzake gegevensbescherming kunnen betrekking hebben op verschillende situaties, met name op overdrachten van voor de verwerking verantwoordelijken die in de Unie gevestigd zijn naar voor de verwerking verantwoordelijken die buiten de Unie gevestigd zijn en van voor de verwerking verantwoordelijken die in de Unie gevestigd zijn naar verwerkers, met inbegrip van subverwerkers, die buiten de Unie gevestigd zijn. Voor de verwerking verantwoordelijken en verwerkers moeten worden aangemoedigd om nog striktere waarborgen te bieden via bijkomende contractuele verplichtingen die de standaardclausules inzake gegevensbescherming aanvullen. [Am. 57]

(85)  Een bedrijfsconcern dient voor zijn internationale doorgiften uit de Unie naar organisaties binnen hetzelfde bedrijfsconcern te kunnen gebruikmaken van goedgekeurde bindende bedrijfsregels, mits daarin bepaalde alle essentiële beginselen en afdwingbare rechten zijn vastgelegd die passende waarborgen bieden ten aanzien van de doorgifte of categorieën van doorgiften van persoonsgegevens. [Am. 58]

(86)  Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe toestemming heeft gegeven, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer in het recht van de Unie of van de lidstaat vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In het laatste geval dient bij een dergelijke doorgifte niet de totaliteit van de in dit register opgenomen gegevens of categorieën gegevens te worden verstrekt en wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, dient de doorgifte slechts plaats te vinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene. [Am. 59]

(87)  Deze afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de autoriteiten volksgezondheid, of de overheidsinstellingen belast met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, waaronder de voorkoming van witwassen en de bestrijding van terrorismefinanciering. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van een belang dat essentieel is voor het leven van de betrokkene of dat van een andere persoon, indien de betrokkene niet in staat is zijn toestemming te geven. Het doorgeven van persoonsgegevens voor zulke belangrijke doeleinden van algemeen belang mag enkel gebeuren voor occasionele doorgiften. Alle omstandigheden van de doorgifte moeten in elk afzonderlijk geval grondig worden overwogen. [Am. 60]

(88)  Doorgiften die niet als frequent of massaal kunnen worden aangemerkt, dienen ook mogelijk te zijn voor gerechtvaardigde belangen van door de voor de verwerking verantwoordelijke of de verwerker, indien hij alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld. Met betrekking tot de verwerking voor historische, statistische of wetenschappelijke doeleinden dient rekening te worden gehouden met de gewettigde verwachting van de maatschappij dat er wordt gestreefd naar vermeerdering van kennis. [Am. 61]

(89)  Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de voor de verwerking verantwoordelijke in elk geval gebruik te maken van oplossingen die de betrokkenen ook na de doorgifte van hun gegevens op een juridisch bindende manier verzekeren van de rechten en waarborgen die in de Unie gelden voor gegevensverwerking, voor zover de verwerking niet massaal, steeds terugkerend en structureel is. Die verzekering dient financiële schadeloosstelling te omvatten bij verlies, onbevoegde toegang of verwerking van de gegevens en een verplichting, ongeacht de nationale wetgeving, om volledige informatie te verstrekken betreffende elke toegang tot de gegevens door overheidsinstanties in het derde land. [Am. 62]

(90)  Sommige derde landen stellen wetten, bestuursrechtelijke bepalingen en andere rechtsvoorschriften vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van natuurlijke en rechtspersonen die onder de jurisdictie van de lidstaten vallen, rechtstreeks te regelen. De extraterritoriale toepassing van deze wetten, bestuursrechtelijke bepalingen en andere rechtsvoorschriften kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van personen in de Unie. Doorgiften dienen alleen te kunnen plaatsvinden wanneer wordt voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer verstrekking nodig is voor een algemeen belang dat erkend is in het Unierecht of in het recht van de lidstaat waarvan de voor de verwerking verantwoordelijke onderdaan is. Het is aan de Commissie om door middel van een gedelegeerde handeling vast te stellen wanneer er sprake is van zwaarwegende algemene belangen. Wanneer voor de verwerking verantwoordelijken of verwerkers worden geconfronteerd met tegenstrijdige nalevingseisen tussen de jurisdictie van de Unie enerzijds en die van een derde land anderzijds, moet de Commissie ervoor zorgen dat het recht van de Unie te allen tijde prevaleert. De Commissie moet de voor de verwerking verantwoordelijke en de verwerker richtsnoeren bieden en bijstand verlenen en het conflict omtrent de rechtsbevoegdheid met het derde land in kwestie proberen op te lossen. [Am. 63]

(91)  Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige verstrekking van die informatie. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming dient daarom te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.

(92)  Het is voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteit wordt ingesteld die haar taken volstrekt onafhankelijk uitvoert. De lidstaten hebben de mogelijkheid om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Een autoriteit dient te beschikken over passende financiële en personele middelen om haar opdracht volledig te vervullen, rekening houdend met de omvang van de bevolking en het volume van de verwerking van persoonsgegevens. [Am. 64]

(93)  Wanneer een lidstaat meerdere toezichthoudende autoriteiten instelt, dient die lidstaat bij wet mechanismen in te stellen om ervoor te zorgen dat de toezichthoudende autoriteiten effectief deelnemen aan de conformiteitstoetsing. De betrokken lidstaat dient met name de toezichthoudende autoriteit aan te wijzen die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan de toetsing, teneinde een vlotte en soepele samenwerking met andere toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming en de Commissie te verzekeren.

(94)  Iedere toezichthoudende autoriteit dient te beschikken over passende financiële en personele middelen, met bijzondere aandacht voor de passende technische en juridische vaardigheden van het personeel, en de huisvesting en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. [Am. 65]

(95)  De algemene voorwaarden voor de leden van de toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat de leden hetzij door het parlement, hetzij of door de regering van de lidstaat worden benoemd, waarbij de mogelijkheid van politieke inmenging tot een minimum moet worden beperkt, en voorschriften te bevatten inzake de persoonlijke kwalificaties van de leden, het voorkomen van belangenverstrengeling en de positie van de leden. [Am. 66]

(96)  De toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en bij te dragen tot de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken.

(97)  Wanneer de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie in meer dan één lidstaat plaatsvindt, dient één enkele toezichthoudende autoriteit, bevoegd te zijn het voorkomen van belangenvermenging voor en als de uitoefening van autoriteit die verantwoordelijk is voor het toezicht op de activiteiten van de voor de verwerking verantwoordelijke of de verwerker in de hele Unie en de daarmee samenhangende besluiten te nemen, teneinde de consequente toepassing van de richtlijn te bevorderen, rechtszekerheid te bieden en de administratieve belasting voor dergelijke voor de verwerking verantwoordelijken en verwerkers te verminderen. [Am. 67]

(98)  De bevoegde leidende autoriteit die een dergelijk éénloketsysteem aanbiedt, dient de toezichthoudende autoriteit te zijn van de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker zijn belangrijkste vestiging heeft of zijn vertegenwoordiger. Het Europees Comité voor gegevensbescherming kan via de conformiteitstoetsing in bepaalde gevallen op vraag van een bevoegde autoriteit de hoofdautoriteit aanwijzen. [Am. 68]

(98 bis)  Betrokkenen van wie persoonsgegevens worden verwerkt door een voor de verwerking verantwoordelijke of verwerker in een andere lidstaat, moeten de mogelijkheid hebben zich tot de toezichthoudende autoriteit van hun keuze te richten. De hoofdautoriteit voor de gegevensbescherming moet haar activiteiten met die van de andere betrokken autoriteiten coördineren. [Am. 69]

(99)  Hoewel deze verordening ook van toepassing is op de activiteiten van nationale gerechtelijke instanties, dient de bevoegdheid van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door die instanties in het kader van hun gerechtelijke taken, zulks om de onafhankelijkheid van de rechter bij de uitvoering van gerechtelijke taken te vrijwaren. Deze ontheffing dient echter strikt beperkt te blijven tot daadwerkelijke gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het nationale recht verrichten.

(100)  Met het oog op een consequent toezicht en de eenvormige handhaving van deze richtlijn in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en effectieve bevoegdheden te hebben, waaronder de bevoegdheid om onderzoek te verrichten en juridisch bindend op te treden, besluiten te nemen en sancties op te leggen, in het bijzonder bij klachten van personen, alsook de bevoegdheid om in rechte op te treden. De toezichthoudende autoriteiten dienen hun onderzoeksbevoegdheden met betrekking tot toegang tot lokalen uit te oefenen conform het Unierecht en het recht van de lidstaten. Dit geldt met name voor de verplichting van voorafgaande toestemming van een rechterlijke instantie.

(101)  Iedere toezichthoudende autoriteit dient kennis te nemen van klachten die door een betrokkene of een vereniging die optreedt in het algemeen belang zijn ingediend en de zaak te onderzoeken. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, heeft een voor het specifieke geval passende reikwijdte en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene of de vereniging binnen een redelijke termijn in kennis te stellen van de voortgang en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. [Am. 70]

(102)  De toezichthoudende autoriteiten dienen bij voorlichtingsactiviteiten voor het publiek specifieke maatregelen te nemen voor de voor de verwerking verantwoordelijken en de verwerkers.

(103)  De toezichthoudende autoriteiten dienen elkaar wederzijdse bijstand te verlenen bij de uitvoering van hun taken met het oog op de conformiteit van de toepassing en handhaving van deze verordening binnen de interne markt.

(104)  Iedere toezichthoudende autoriteit dient het recht te hebben om deel te nemen aan gezamenlijke operaties van toezichthoudende autoriteiten. Iedere aangezochte toezichthoudende autoriteit dient verplicht te zijn binnen een vastgestelde termijn op het verzoek te reageren.

(105)  Om te verzekeren dat deze verordening in de gehele Unie consequent wordt toegepast, dient een conformiteitstoetsing te worden vastgesteld voor samenwerking tussen de toezichthoudende autoriteiten en met de Commissie. Deze toetsing dient met name te worden toegepast wanneer een toezichthoudende autoriteit voornemens is een maatregel te nemen inzake verwerkingen die betrekking hebben op het aanbieden van goederen of diensten aan betrokkenen in meerdere lidstaten of op het toezicht op dergelijke betrokkenen, of die aanzienlijke gevolgen kunnen hebben voor het vrije verkeer van persoonsgegevens. Het dient ook van toepassing te zijn wanneer een toezichthoudende autoriteit of de Commissie verzoekt om de aangelegenheid aan de conformiteitstoetsing te onderwerpen. Bovendien dienen de betrokkenen het recht te hebben een consequente toepassing te eisen indien zij van oordeel zijn dat een door een gegevensbeschermingsautoriteit van een lidstaat genomen maatregel niet aan het criterium van een consequente toepassing voldoet. Deze toetsing dient geen afbreuk te doen aan maatregelen die de Commissie kan nemen in de uitoefening van de bevoegdheden die haar bij de Verdragen zijn toegekend. [Am. 71]

(106)  Bij de toepassing van de conformiteitstoetsing dient het Europees Comité voor gegevensbescherming binnen een bepaalde termijn een advies uitbrengen, indien een gewone meerderheid van stemmen van zijn leden daartoe beslist of indien een toezichthoudende autoriteit of de Commissie daarom verzoekt.

(106 bis)  Om ervoor te zorgen dat deze verordening consistent wordt toegepast, kan het Europees Comité voor gegevensbescherming in afzonderlijke gevallen een besluit vaststellen dat bindend is voor de bevoegde toezichthoudende autoriteiten. [Am. 72]

(107)  Teneinde ervoor te zorgen dat de bepalingen van deze verordening worden nageleefd, kan de Commissie hierover een advies uitbrengen of een besluit vaststellen waarbij de toezichthoudende autoriteit wordt verplicht haar ontwerpmaatregel in te trekken. [Am. 73]

(108)  Er kan dringend moeten worden opgetreden om de belangen van de betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk zou kunnen worden belemmerd. Derhalve dient een toezichthoudende autoriteit de mogelijkheid te hebben om bij het verrichten van de conformiteitstoetsing voorlopige maatregelen met een bepaalde geldigheidsduur vast te stellen.

(109)  De verrichting van deze toetsing dient een voorwaarde te zijn voor de rechtsgeldigheid en handhaving van het betrokken besluit door een toezichthoudende autoriteit. In andere gevallen van grensoverschrijdende relevantie kunnen de betrokken toezichthoudende autoriteiten op bilaterale of multilaterale basis wederzijdse bijstand en gezamenlijke onderzoeken uitvoeren zonder dat de conformiteitstoetsing hoeft te worden verricht.

(110)  Op het niveau van de Unie dient een Europees Comité voor gegevensbescherming te worden ingesteld. Dit comité dient de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens te vervangen. Het dient te bestaan uit de hoofden van de toezichthoudende autoriteit van iedere lidstaat en de Europese Toezichthouder voor gegevensbescherming. De Commissie dient deel te nemen aan zijn activiteiten. Het Europees Comité voor gegevensbescherming dient bij te dragen tot de consistente toepassing van deze richtlijn in de Unie, onder meer door de Commissie instellingen van de Unie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie, met inbegrip van de coördinatie van gezamenlijke operaties, te bevorderen. Het Europees Comité voor gegevensbescherming dient bij de uitvoering van zijn taken onafhankelijk op te treden. Het Europees Comité voor gegevensbescherming dient de dialoog met de betrokken belanghebbenden, zoals verenigingen van betrokkenen, consumentenorganisaties, voor de verwerking verantwoordelijken en andere relevante belanghebbenden en deskundigen, te versterken. [Am. 74]

(111)  Iedere betrokkene dient Betrokkenen dienen het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat en een effectief beroep in rechte in te stellen overeenkomstig artikel 47 van het Handvest, indien hij meent indien zij menen dat inbreuk is gemaakt op zijn hun rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. [Am. 75]

(112)  Alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben handelen in het algemeen belang en die volgens het recht van een lidstaat zijn opgericht, dienen het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit of namens betrokkenen , door wie zij naar behoren zijn gemachtigd met hun toestemming, of het recht op beroep in rechte uit te oefenen en indien ze hiervoor gemachtigd zijn door de betrokkene, of om onafhankelijk van een klacht van een betrokkene zelf een klacht in te dienen indien zij menen dat zich een inbreuk op persoonsgegevens deze verordening heeft voorgedaan. [Am. 76]

(113)  Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen. Een vordering tegen een toezichthoudende autoriteit moet worden ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

(114)  Teneinde de juridische bescherming van de betrokkene te beschermen wanneer de bevoegde toezichthoudende autoriteit is gevestigd in een andere lidstaat dan die waar de betrokkene woont, kan de betrokkene alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen handelen in verband met de bescherming van hun persoonsgegevens tot doel hebben, vragen om namens hem in het algemeen belang, machtigen om in de andere lidstaat tegen de bevoegde toezichthoudende autoriteit een vordering in te stellen. [Am. 77]

(115)  Wanneer de bevoegde toezichthoudende autoriteit in een andere lidstaat is gevestigd en niet optreedt of onvoldoende maatregelen heeft getroffen naar aanleiding van een klacht, kan de betrokkene de toezichthoudende autoriteit van de lidstaat waar hij gewoonlijk verblijft, verzoeken om tegen die bevoegde toezichthoudende autoriteit een vordering in te stellen bij de bevoegde gerechtelijke instantie in de andere lidstaat. Dit is niet van toepassing op personen die niet in de EU verblijven. De beslissing of het passend is om gevolg te geven aan het verzoek, is aan de aangezochte toezichthoudende autoriteit en kan worden onderworpen aan rechterlijke toetsing. [Am. 78]

(116)  Voor procedures tegen een voor de verwerking verantwoordelijke of een verwerker dient de verzoeker te kunnen kiezen om de zaak aanhangig te maken bij een rechter in de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker een vestiging heeft, of of, in ingeval van verblijf in de Unie, dit te doen in de lidstaat waar de betrokkene woont, tenzij de voor de verwerking verantwoordelijke een overheidsinstantie van de Unie of van een lidstaat is die krachtens overheidsbevoegdheid handelt. [Am. 79]

(117)  De rechters dienen te worden verplicht contact met elkaar op te nemen, wanneer er aanwijzingen zijn dat er parallelle procedures aanhangig zijn bij rechters in andere lidstaten. De rechters dienen de mogelijkheid te hebben een zaak op te schorten indien in een andere lidstaat een parallelle zaak aanhangig is. De lidstaten dienen erop toe te zien dat bij rechtsgedingen, met het oog op hun effectiviteit, snel maatregelen kunnen worden getroffen om inbreuken op deze verordening te doen eindigen of te voorkomen.

(118)  Iedere schade, ongeacht het materiële of immateriële schade betreft, die betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden vergoed door de voor de verwerking verantwoordelijke of de verwerker, die alleen van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, wat met name het geval is wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht. [Am. 80]

(119)  Er moet worden voorzien in sancties jegens iedere persoon, ongeacht of deze onder het publiekrecht dan wel onder het privaatrecht valt, die deze verordening niet naleeft. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en alle maatregelen te nemen om de sancties ten uitvoer te leggen. Voor de regels inzake sancties dienen passende procedurele waarborgen te gelden overeenkomstig de algemene beginselen van het recht van de Unie en het Handvest, met inbegrip van de beginselen met betrekking tot het recht op een effectief beroep in rechte, een eerlijke rechtsbedeling en het beginsel "ne bis in idem". [Am. 81]

(119 bis)  De lidstaten dienen bij het opleggen van sancties de passende procedurele waarborgen volledig te eerbiedigen, met inbegrip van het recht op een effectief beroep in rechte, een eerlijke rechtsbedeling en het beginsel "ne bis in idem". [Am. 82]

(120)  Teneinde de administratieve sancties tegen inbreuken op deze verordening te versterken en te harmoniseren dient iedere toezichthoudende autoriteit bevoegd te zijn om administratieve overtredingen te bestraffen. In deze verordening dienen de overtredingen te worden benoemd en maxima te worden vastgesteld voor de daaraan verbonden administratieve geldboeten, die evenredig moeten zijn met de betrokken situatie en per afzonderlijk geval dienen te worden bepaald, met inachtneming van met name de aard, de ernst en de duur van de inbreuk. De conformiteitstoetsing kan ook worden gebruikt met betrekking tot verschillen bij de toepassing van administratieve sancties.

(121)  Voor Telkens als dat nodig is, dienen voor de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden of voor artistieke en literaire doeleinden dient te worden voorzien in uitzonderingen op of afwijkingen van een aantal bepalingen van deze verordening te gelden teneinde het recht op bescherming van persoonsgegevens te verzoenen met de regels betreffende de vrijheid van meningsuiting, inzonderheid het recht om inlichtingen te ontvangen of te verstrekken, zoals dat met name bij artikel 11 van het Handvest wordt gewaarborgd. Dit dient met name voor de verwerking van persoonsgegevens voor audiovisuele doeleinden en in nieuws- en persarchieven te gelden. Derhalve dienen de lidstaten wettelijke maatregelen te treffen om de uitzonderingen en beperkingen vast te stellen die nodig zijn voor een juiste balans tussen deze grondrechten. De lidstaten dienen dergelijke uitzonderingen en afwijkingen vast te stellen met betrekking tot de algemene beginselen, de rechten van betrokkenen, de voor de verwerking verantwoordelijke en de verwerker, de doorgifte van gegevens naar derde landen of internationale organisaties, de onafhankelijke toezichthoudende autoriteiten en samenwerking en conformiteit, en betreffende specifieke situaties op het gebied van gegevensverwerking. Zulks mag de lidstaten er evenwel niet toe bewegen te voorzien in uitzonderingen op de andere bepalingen van deze verordening. Gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, dienen begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim te worden uitgelegd. Voor de in het kader van deze verordening vast te stellen uitzonderingen en afwijkingen dienen de lidstaten interpreteren zodat ze alle activiteiten derhalve als “journalistiek” aan te merken, indien deze activiteiten omvatten die gericht zijn op de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebben, ongeacht het voor de doorgifte gebruikte medium, eveneens rekening houdend met de technologische ontwikkeling. Het hoeft niet noodzakelijkerwijs om activiteiten van mediaondernemingen te gaan en zij kunnen met of zonder winstoogmerk worden uitgevoerd. [Am. 83]

(122)  Voor de verwerking van persoonsgegevens betreffende de gezondheid, als een speciale categorie gegevens waarvoor betere bescherming is vereist, kunnen in verband met het belang van personen en de samenleving als geheel vaak gegronde redenen worden aangevoerd, zoals met name het waarborgen van de continuïteit van grensoverschrijdende gezondheidszorg. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van persoonsgegevens betreffende de gezondheid, met specifieke en passende waarborgen voor de bescherming van de grondrechten en de persoonsgegevens. Dit houdt ook in dat personen het recht dienen te hebben op toegang tot de persoonsgegevens betreffende hun gezondheid, zoals de gegevens in hun medische dossier, dat informatie bevat over diagnoses, onderzoeksuitslagen, beoordelingen door behandelend artsen en verrichte behandelingen en ingrepen.

(122 bis)   Een gezondheidswerker die persoonsgegevens betreffende de gezondheid verwerkt, dient waar mogelijk geanonimiseerde gegevens of gegevens onder pseudoniem te ontvangen, zodat de identiteit van de betrokkene alleen voor de huisarts of de specialist bekend is die om verwerking van die gegevens heeft verzocht. [Am. 84]

(123)  Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om persoonsgegevens over gezondheid zonder toestemming van de betrokkene te verwerken. In dat verband dient “volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad(11) van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden zoals werkgevers, verzekeringsmaatschappijen en banken voor andere doeleinden worden verwerkt. [Am. 85]

(123 bis)   De verwerking van persoonsgegevens betreffende de gezondheid, als een bijzondere categorie gegevens, kan noodzakelijk zijn voor historisch, statistisch of wetenschappelijk onderzoek. Daarom is in deze verordening een uitzondering opgenomen op de eis van toestemming in gevallen van onderzoek van gewichtig algemeen belang. [Am. 86]

(124)  De algemene beginselen inzake de bescherming van personen met betrekking tot de verwerking van persoonsgegevens dienen ook van toepassing te zijn op de arbeidsverhouding en de sociale zekerheid. De lidstaten moeten Teneinde de mogelijkheid hebben de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding en de verwerking van persoonsgegevens voor socialezekerheidsdoeleinden te reglementeren, dienen de lidstaten de mogelijkheid hebben om, binnen de grenzen van overeenkomstig de voorschriften en minimumnormen die in deze verordening, specifieke voorschriften vast te stellen voor zijn vastgesteld. Indien de regeling van aangelegenheden betreffende de arbeidsverhouding door een overeenkomst tussen de werknemersvertegenwoordigers en de leiding van de onderneming of van de onderneming die zeggenschap uitoefent binnen een concern is voorzien in het kader van de wetgeving van de betrokken lidstaat (collectieve overeenkomst) of in overeenstemming met Richtlijn 2009/38/EG van het Europees Parlement en de Raad(12), mag de verwerking van persoonsgegevens in het kader van de arbeidsverhouding ook door dergelijke overeenkomst geregeld worden. [Am. 87]

(125)  Om rechtmatig te zijn, dient bij de verwerking van persoonsgegevens voor historisch, statistisch en wetenschappelijk onderzoek ook andere relevante wetgeving in acht te worden genomen, zoals de wetgeving inzake klinische proeven.

(125 bis)  Persoonsgegevens mogen eveneens later worden verwerkt door archiefdiensten voor wie het verzamelen, bewaren, verstrekken van informatie over, exploiteren en verspreiden van archiefstukken in het algemeen belang de hoofdtaak of een wettelijke verplichting is. Het recht op bescherming van persoonsgegevens dient in de wetgeving van de lidstaten in overeenstemming te worden gebracht met de regels inzake archieven en de toegang van burgers tot administratieve informatie. De lidstaten moeten aansporen tot de uitwerking, in het bijzonder door de Europese Archiefgroep, van regels ter waarborging van de vertrouwelijkheid van gegevens ten opzichte van derden en de authenticiteit, de integriteit en de goede opslag van de gegevens. [Am. 88]

(126)  Voor de toepassing van deze verordening dient wetenschappelijk onderzoek fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek te omvatten en dient bovendien de doelstelling van de Unie uit hoofde van artikel 179, lid 1, van het Verdrag betreffende de werking van de Europese Unie, te weten de totstandbrenging van een Europese onderzoeksruimte, in acht te worden genomen. De verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden mag er niet toe leiden dat persoonsgegevens voor andere doeleinden worden verwerkt, tenzij de betrokkene hier toestemming voor geeft of op basis van het recht van de Unie of het recht van de lidstaat. [Am. 89]

(127)  Met betrekking tot de bevoegdheden van de toezichthoudende autoriteiten om van de voor de verwerking verantwoordelijke of de verwerker toegang tot persoonsgegevens en tot zijn lokalen te verkrijgen, kunnen de lidstaten, binnen de grenzen van deze verordening, bij wet specifieke bepalingen vaststellen om het beroepsgeheim of andere, gelijkwaardige geheimhoudingsplichten te waarborgen, voor zover dit nodig is om het recht op bescherming van persoonsgegevens met het beroepsgeheim te verzoenen.

(128)  Overeenkomstig artikel 17 van het Verdrag betreffende de werking van de Europese Unie eerbiedigt deze verordening de status die kerken en religieuze verenigingen en gemeenschappen volgens het nationaal recht in de lidstaten hebben, en doet daaraan geen afbreuk. Wanneer een kerk in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening uitgebreide passende voorschriften betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens toepast, dienen deze bestaande voorschriften derhalve van toepassing te blijven, wanneer zij met deze verordening in overeenstemming worden gebracht. Dergelijke kerken en religieuze verenigingen dienen verplicht te worden om voor de instelling van een volledig onafhankelijke toezichthoudende autoriteit te zorgen. en als dusdanig worden erkend. [Am. 90]

(129)  Teneinde de doelstellingen van deze verordening te verwezenlijken, te weten het beschermen van de grondrechten en de fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens in de Unie, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. Gedelegeerde handelingen dienen met name te worden vastgesteld met betrekking tot de rechtmatigheid van verwerkingen; het vaststellen van de criteria en voorwaarden inzake de toestemming van kinderen; de verwerking van bijzondere categorieën van gegevens; de vaststelling van de criteria en voorwaarden voor de beoordeling of verzoeken en vergoedingen in verband met de uitoefening van de rechten van de betrokkene duidelijk buitensporig zijn; de criteria en vereisten voor van op pictogrammen gebaseerde informatieverstrekking; het informeren van de betrokkene en met betrekking tot het recht van toegang; het recht om te worden vergeten en om gegevens te laten wissen; maatregelen op basis van profilering; ; de verklaring dat gedragscodes in overeenstemming met deze verordening zijn; criteria en vereisten met betrekking tot de verantwoordelijkheden van de voor de verwerking verantwoordelijke en met betrekking tot privacy by design en by default; verwerkers; criteria en vereisten voor de documentatie en de beveiliging van verwerkingen; criteria en vereisten voor de vaststelling van inbreuken in verband met persoonsgegevens en voor de melding daarvan aan de toezichthoudende autoriteit, en inzake de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen voor de betrokkene heeft; de criteria en voorwaarden voor verwerkingen waarvoor een privacyeffectbeoordeling is vereist; de criteria en vereisten voor de vaststelling van grote specifieke risico’s die voorafgaande raadpleging vereisen; de aanwijzing en de taken van de functionaris voor gegevensbescherming; gedragscodes; criteria en vereisten voor certificeringsmechanismen; het passende beveiligingsniveau dat door een derde land of een internationale organisatie wordt verschaft; criteria en vereisten voor doorgiften op grond van bindende bedrijfsvoorschriften; uitzonderingen inzake doorgifte; administratieve sancties; verwerking voor gezondheidsdoeleinden ; en verwerking in het kader van de arbeidsverhouding en verwerking voor historisch, statistisch en wetenschappelijk onderzoek. Het is van bijzonder belang dat de Commissie bij tijdens haar voorbereidende werkzaamheden passend overleg pleegt, ook toereikende raadplegingen verricht, onder meer op deskundigenniveau en in het bijzonder met het Europees Comité voor gegevensbescherming. De Commissie moet bij de voorbereiding en opstelling van de gedelegeerde handelingen ervoor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en aan de Raad. [Am. 91]

(130)  Om eenvormige voorwaarden te waarborgen voor de tenuitvoerlegging van deze verordening moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend voor: het vaststellen van modelformulieren inzake voor specifieke methoden ter verkrijging van verifieerbare toestemming met betrekking tot de verwerking van persoonsgegevens van kinderen; standaardprocedures en modelformulieren voor de mededeling aan de betrokkenen betreffende de uitoefening van de hun rechten van betrokkenen; modelformulieren voor het verstrekken van informatie aan de betrokkene, modelformulieren en –procedures inzake in verband met het recht op toegang, onder meer voor het meedelen van toegang; het recht van gegevensoverdraagbaarheid de persoonsgegevens aan de betrokkene; modelformulieren inzake de verantwoordelijkheid van documentatie die door de voor de verwerking verantwoordelijke voor privacy by design en by default en voor de documentatie; specifieke vereisten voor de beveiliging van de verwerking en de verwerker moet worden bijgehouden; het standaardformaat en de standaardprocedures modelformulier voor de melding van een inbreuk inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit en de mededeling voor het documenteren van een inbreuk in verband met persoonsgegevens; en formulieren voor voorafgaande raadpleging en informatieverstrekking aan de betrokkene; normen en procedures voor een privacyeffectbeoordeling; formulieren en procedures voor voorafgaande toestemming en voorafgaande raadpleging; technische normen en mechanismen voor certificering; het door een derde land, een gebied of een verwerkingssector binnen dat derde land of een internationale organisatie geboden passende beschermingsniveau; niet bij EU-wetgeving toegestane verstrekkingen; wederzijdse bijstand; gezamenlijk optreden; besluiten in het kader van de conformiteitstoetsing toezichthoudende autoriteit. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren(13). In deze context dient de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging te nemen. [Am. 92]

(131)  De onderzoeksprocedure dient te worden toegepast voor de vaststelling van specifieke modelformulieren : voor specifieke methoden ter verkrijging van verifieerbare toestemming met betrekking tot de verwerking van persoonsgegevens van kinderen; standaardprocedures en modelformulieren voor de mededeling aan de betrokkenen betreffende de uitoefening van de hun rechten; van betrokkenen; modelformulieren voor het verstrekken van informatie aan de betrokkene; modelformulieren en standaardprocedures inzake ; in verband met het recht op toegang, onder meer voor het meedelen van toegang; het recht van gegevensoverdraagbaarheid de persoonsgegevens aan de betrokkene; modelformulieren inzake de verantwoordelijkheid van documentatie die door de voor de verwerking verantwoordelijke voor privacy by design en by default en voor de documentatie; specifieke vereisten voor de beveiliging van de verwerking; en de verwerker moet worden bijgehouden; het standaardformaat en de standaardprocedures voor de melding van een inbreuk inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit en de mededeling voor het documenteren van een inbreuk in verband met persoonsgegevens; voor voorafgaande raadpleging en informatieverstrekking aan de betrokkene; normen en procedures voor een privacyeffectbeoordeling; formulieren en procedures voor voorafgaande toestemming en voorafgaande raadpleging; technische normen en mechanismen voor certificering; het door een derde land, een gebied of een verwerkingssector binnen dat derde land of een internationale organisatie geboden passende beschermingsniveau; niet bij EU-wetgeving toegestane verstrekkingen; wederzijdse bijstand; gezamenlijk optreden; besluiten in het kader van de conformiteitstoetsing, toezichthoudende autoriteit, aangezien dit handelingen van algemene strekking zijn. [Am. 93]

(132)  Wanneer een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt en wanneer er sprake is van aan de toezichthoudende autoriteiten in het kader van de conformiteitstoetsing gemelde aangelegenheden, moet de Commissie in naar behoren gerechtvaardige gevallen onmiddellijk toepasselijke uitvoeringshandelingen vaststellen, wanneer dwingende urgente redenen dat vereisen. [Am. 94]

(133)  Daar de doelstellingen van deze verordening, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van personen en van het vrije verkeer van gegevens in de hele Unie, niet voldoende door de lidstaten kunnen worden verwezenlijkt maar vanwege de omvang en de gevolgen van de maatregelen, beter op het niveau van de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan wat nodig is om deze doelstelling te verwezenlijken.

(134)  Richtlijn 95/46/EG dient door deze verordening te worden vervangen. Voor zover besluiten van de Commissie en door de toezichthoudende autoriteiten verleende toestemmingen zijn gebaseerd op Richtlijn 95/46/EG dienen zij echter van kracht te blijven. Besluiten van de Commissie en toestemmingen van de toezichthoudende autoriteiten betreffende doorgiften van persoonsgegevens aan derde landen overeenkomstig artikel 41, lid 8, moeten van kracht blijven tijdens een overgangsperiode van vijf jaar na de inwerkingtreding van deze verordening, tenzij ze door de Commissie vóór het einde van deze periode worden gewijzigd, vervangen of ingetrokken. [Am. 95]

(135)  Deze verordening dient van toepassing te zijn op alle aangelegenheden die betrekking hebben op de bescherming van grondrechten en fundamentele vrijheden in het kader van de verwerking van persoonsgegevens waarvoor de in Richtlijn 2002/58/EG van het Europees Parlement en de Raad(14) opgenomen specifieke verplichtingen met dezelfde doelstelling niet gelden, met inbegrip van de verplichtingen van de voor de verwerking verantwoordelijke en de rechten van natuurlijke personen. Om de verhouding tussen deze verordening en Richtlijn 2002/58/EG te verduidelijken, dient die richtlijn dienovereenkomstig te worden gewijzigd.

(136)  Wat Noorwegen en IJsland betreft, vormt deze verordening, voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling van de bepalingen van het Schengenacquis in zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(15).

(137)  Wat Zwitserland betreft, vormt deze verordening, voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop de Zwitserse Bondsstaat wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(16).

(138)  Wat Liechtenstein betreft, vormt deze verordening, voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(17).

(139)  Aangezien het recht op bescherming van persoonsgegevens, zoals het Hof van Justitie heeft benadrukt, geen absolute gelding heeft, maar in relatie tot de functie ervan in de samenleving moet worden beschouwd en moet worden afgewogen tegen andere grondrechten, overeenkomstig het evenredigheidsbeginsel, eerbiedigt deze verordening alle grondrechten en ‑beginselen die in het Handvest zijn erkend en in de Verdragen zijn verankerd, met name het recht op de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, het recht op bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, alsook het recht op culturele, godsdienstige en taalkundige verscheidenheid,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en doelstellingen

1.  Bij deze verordening worden bepalingen vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

2.  Deze verordening beschermt de grondrechten en fundamentele vrijheden van natuurlijke personen en met name hun recht op de bescherming van persoonsgegevens.

3.  Het vrije verkeer van persoonsgegevens in de Unie wordt niet beperkt of verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Artikel 2

Materiële werkingssfeer

1.  Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens, ongeacht de verwerkingsmethode, die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen, alsmede op de niet-geautomatiseerde verwerking van zulke gegevens.

2.  Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:

a)  in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen, met name activiteiten op het gebied van nationale veiligheid;

b)  door de instellingen, organen, bureaus en agentschappen van de Unie;

c)  door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie vallen;

d)  die door een natuurlijke natuurlijk persoon zonder commercieel belang bij de uitoefening van zijn in activiteiten met uitsluitend persoonlijke of huishoudelijke activiteiten doeleinden wordt verricht. Deze uitzondering geldt ook voor de publicatie van persoonsgegevens wanneer redelijkerwijs kan worden aangenomen dat er zich slechts een beperkt aantal personen toegang tot zal verschaffen;

e)  door de bevoegde autoriteiten overheidsinstanties met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

3.  Deze verordening laat de toepassing van Richtlijn 2000/31/EG, met name de bepalingen inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn, onverlet. [Am. 96]

Artikel 3

Geografisch toepassingsgebied

1.  Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking plaatsvindt in de Unie of niet.

2.  Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen in de Unie wonende betrokkenen door een niet in de Unie gevestigde voor de verwerking verantwoordelijke of verwerker, wanneer de verwerking betrekking heeft op:

a)  het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of die betrokkene daarvoor een vergoeding dient te betalen; of

b)  het observeren van hun gedrag die betrokkenen.

3.  Deze verordening is van toepassing op de verwerking van persoonsgegevens door een voor de verwerking verantwoordelijke die niet in de Unie is gevestigd, maar in een plaats waar krachtens het internationaal publiekrecht het nationale recht van een lidstaat van toepassing is. [Am. 97]

Artikel 4

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

(1)  “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.

(2)  “persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, gegevens over de verblijfplaats, een unieke identificatiecode of van een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele, sociale of genderidentiteit van die persoon;

(2 bis)  "pseudonieme gegevens": persoonsgegevens die niet aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, zo lang als dergelijke aanvullende informatie apart wordt bewaard en op voorwaarde dat technische en organisatorische maatregelen worden genomen om niet-koppeling te waarborgen;

(2 ter)  "geëncrypteerde gegevens": persoonsgegevens die met behulp van technische beschermingsmaatregelen onbegrijpelijk zijn gemaakt voor eenieder die geen recht op toegang daartoe heeft;

(3)  “verwerking”: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het wissen of vernietigen van gegevens.

(3 bis)  "profilering": iedere automatische wijze waarop persoonsgegevens van een persoon worden verwerkt met de bedoeling om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen;

(4)  “bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

(5)  “voor de verwerking verantwoordelijke”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de voorwaarden en middelen voor de verwerking worden vastgesteld bij het recht van de Unie of het van de lidstaat, kan in het recht van de Unie of het recht van de lidstaat worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

(6)  “verwerker”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(7)  “ontvanger”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan aan wie, respectievelijk waaraan de gegevens worden meegedeeld;

(7 bis)  "derde": de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;

(8)  “toestemming van de betrokkene”: elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem of haar betreffende persoonsgegevens worden verwerkt;

(9)  “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig tot gevolg;

(10)  “genetische gegevens”: alle gegevens, van welke aard ook, over persoonsgegevens met betrekking tot de overgeërfde of tijdens de vroege prenatale ontwikkeling verkregen genetische kenmerken van een persoon zoals aangetoond middels een analyse van een biologisch monster van het individu in kwestie, in het bijzonder van desoxyribonucleïnezuur (DNA) of ribonucleïnezuur (RNA) of andere elementen waarmee soortgelijke informatie verkregen kan worden;

(11)  “biometrische gegevens”: alle gegevens persoonsgegevens met betrekking tot de fysieke, fysiologische of gedragskenmerken van een persoon op grond waarvan de eenduidige kenmerking van die persoon mogelijk is, zoals afbeeldingen van het gezicht of dactyloscopische gegevens;

(12)  “gegevens over gezondheid”: alle informatie persoonsgegevens over de fysieke of mentale gezondheid van een persoon, of over de verlening van een gezondheidsdienst aan een persoon;

(13)  “belangrijkste vestiging”: met betrekking tot de plaats van vestiging in de Unie van de onderneming of groep van ondernemingen, ongeacht of het de voor de verwerking verantwoordelijke of de plaats van vestiging van de voor de verwerking verantwoordelijke in de Unie verwerker betreft, waar de voornaamste besluiten over het doel van en de voorwaarden en de middelen voor de verwerking van persoonsgegevens worden genomen. wanneer in de Unie geen besluiten over het doel van of de voorwaarden en middelen Daarbij kan onder meer rekening worden gehouden met de volgende criteria: de vestigingsplaats van de hoofdzetel van de voor de verwerking van persoonsgegevens worden genomen, is de belangrijkste vestiging de plaats waar de voornaamste gegevensverwerking in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke in of de Unie plaatsvindt. Met betrekking tot de verwerker is de “belangrijkste verwerker; de vestigingsplaats van de meest aangewezen entiteit binnen een groep van ondernemingen in termen van managementfuncties en administratieve verantwoordelijkheden om de bepalingen van deze verordening toe te passen en te handhaven; de vestigingsplaats waar de daadwerkelijke en feitelijke beheersactiviteiten worden uitgeoefend die bepalend zijn voor de gegevensverwerking door een vaste vestiging; de plaats waar zich zijn centrale administratie in de Unie bevindt;

(14)  “vertegenwoordiger”: elke in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk door de voor de verwerking verantwoordelijke als zodanig is aangewezen, die namens de voor de verwerking verantwoordelijke handelt en die door de toezichthoudende autoriteiten en andere instanties vertegenwoordigt in de Unie in plaats van de voor de verwerking verantwoordelijke kan worden aangesproken in verband met de verplichtingen van de voor de verwerking verantwoordelijke uit hoofde van deze verordening;

(15)  “onderneming”: iedere entiteit die zich bezighoudt met een economische activiteit, ongeacht de rechtsvorm van die entiteit, met inbegrip derhalve van met name natuurlijke en rechtspersonen, personenvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen;

(16)  “groep van ondernemingen”: een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend;

(17)  “bindende bedrijfsvoorschriften”: beleid inzake de bescherming van persoonsgegevens tot inachtneming waarvan een op het grondgebied van een lidstaat of de Unie gevestigde voor de verwerking verantwoordelijke of verwerker zich heeft verplicht voor de doorgifte of een reeks van doorgiften van persoonsgegevens binnen een groep van ondernemingen naar een voor de verwerking verantwoordelijke of verwerker in een of meer derde landen;

(18)  „kind”: iedere persoon die jonger is dan achttien jaar;

(19)  “toezichthoudende autoriteit”: een door een lidstaat overeenkomstig artikel 46 ingestelde overheidsinstantie. [Am. 98]

HOOFDSTUK II

BEGINSELEN

Artikel 5

Beginselen inzake de verwerking van persoonsgegevens

De persoonsgegevens moeten:

a)  worden verwerkt op een wijze die rechtmatig, eerlijk en transparant is ten opzichte van de betrokkene (rechtmatigheid, eerlijkheid en transparantie);

b)  worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt (doelbinding);

c)  zijn adequaat en ter zake dienend zijn en blijven beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt; zij worden alleen verwerkt wanneer en voor zolang als de doeleinden niet zouden kunnen worden verwezenlijkt door het verwerken van andere gegevens dan persoonsgegevens (minimale gegevensverwerking);

d)  juist zijn en worden zo nodig bijgewerkt; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (juistheid);

e)  worden niet langer in een vorm die het mogelijk maakt de betrokkenen direct of indirect te identificeren , worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt, noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de gegevens uitsluitend voor historische, statistische of wetenschappelijke doeleinden historisch, statistisch of wetenschappelijk onderzoek of ten behoeve van archivering worden verwerkt overeenkomstig de bepalingen en voorwaarden van artikel de artikelen 83 en 83 bis en mits periodiek wordt beoordeeld of de gegevens nog steeds opgeslagen moeten blijven en voor zover er passende technische en organisatorische maatregelen worden getroffen om de toegang tot de gegevens te beperken voor uitsluitend deze doeleinden (minimale opslag);

e bis)  worden dusdanig verwerkt dat de betrokkene in staat is zijn rechten daadwerkelijk uit te oefenen (doeltreffendheid);

e ter)  worden met gebruikmaking van gepaste technische of organisatorische middelen op een dusdanige manier verwerkt dat wordt gezorgd voor bescherming tegen ongeoorloofde of onrechtmatige verwerking alsook tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit);

f)  worden verwerkt onder de verantwoordelijkheid van de voor de verwerking verantwoordelijke, die ervoor zorgt en aantoont dat elke kan aantonen dat de verwerking voldoet aan de bepalingen van deze verordening (verantwoordingsplicht). [Am. 99]

Artikel 6

Rechtmatigheid van de verwerking

1.  De verwerking van persoonsgegevens is alleen rechtmatig wanneer en voor zover ten minste van een van de volgende gevallen sprake is:

a)  de betrokkene heeft toestemming gegeven voor de verwerking van zijn of haar persoonsgegevens voor een of meer specifieke doeleinden;

b)  de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen op verzoek van de betrokkene;

c)  de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de voor de verwerking verantwoordelijke;

d)  de verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen;

e)  de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag dat aan de voor de verwerking verantwoordelijke is opgedragen;

f)  de verwerking is noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en voldoet aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke, mits het belang of de grondrechten en fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens noodzaken, niet boven dat belang dergelijke belangen prevaleren, met name wanneer de betrokkene een kind is. Dit is niet van toepassing op de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.  De verwerking van persoonsgegevens die noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden is rechtmatig mits de in artikel 83 genoemde voorwaarden en waarborgen in acht worden genomen.

3.  In de grondslag voor de in lid 1, onder c) en e), bedoelde verwerking moet worden voorzien in:

a)  het recht van de Unie, of

b)  het recht van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is.

Het recht van de lidstaat moet beantwoorden aan een doelstelling van algemeen belang of noodzakelijk zijn om de rechten en vrijheden van anderen te beschermen, de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigen en evenredig zijn aan het nagestreefde rechtmatige doel. Binnen de grenzen van deze verordening mag de rechtmatigheid van de verwerking in het recht van de lidstaat in detail worden geregeld, in het bijzonder met betrekking tot de voor de verwerking verantwoordelijken, het doel en de doelbinding van de verwerking, de aard van de gegevens en de betrokkenen, de verwerkingsactiviteiten en -procedures, de ontvangers en de duur van de opslag.

4.  Wanneer het doel van verdere verwerking niet verenigbaar is met het doel waarvoor de persoonsgegevens zijn verzameld, moet de verwerking minstens in een van de in lid 1, onder a) tot en met e), genoemde gronden een rechtsgrondslag hebben. Dit is met name van toepassing op iedere wijziging van de clausules en algemene voorwaarden van een overeenkomst.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de in lid 1, onder f), bedoelde voorwaarden, voor diverse sectoren en situaties op het gebied van gegevensverwerking, onder meer ten aanzien van de verwerking van persoonsgegevens met betrekking tot kinderen. [Am. 100]

Artikel 7

Voorwaarden voor toestemming

1.  De Wanneer de verwerking plaatsvindt op basis van toestemming, moet de voor de verwerking verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens voor welbepaalde doeleinden.

2.  Wanneer de betrokkene zijn toestemming moet geven geeft in het kader van een schriftelijke verklaring die ook op een andere aangelegenheid betrekking heeft, moet het vereiste van toestemming duidelijk afzonderlijk van deze andere aangelegenheid worden weergegeven. Bepalingen betreffende de toestemming van de betrokkene die gedeeltelijk op deze verordening inbreuk maken, zijn volledig nietig.

3.  De Niettegenstaande andere rechtsgronden voor de verwerking, heeft de betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De intrekking van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Het is even eenvoudig om toestemming in te trekken als om toestemming te geven. De betrokkene wordt er door de voor de verwerking verantwoordelijke van op de hoogte gebracht indien de intrekking van de toestemming kan leiden tot de beëindiging van de geleverde diensten of van de betrekkingen met de voor de verwerking verantwoordelijke.

4.  Toestemming biedt geen rechtsgrondslag voor verwerking wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkene en die van de is aan het doel gebonden en is niet meer geldig van zodra het doel wegvalt of wanneer de verwerking van persoonsgegevens niet langer noodzakelijk is voor de uitvoering van het doel waarvoor ze oorspronkelijk werden verzameld. De uitvoering van een overeenkomst of de verlening van een dienst worden niet als voorwaarde gesteld voor de toestemming voor de verwerking verantwoordelijke of het gebruik van gegevens die niet noodzakelijk zijn voor de uitvoering van de overeenkomst of de verlening van de dienst overeenkomstig artikel 6, lid 1, onder b). [Am. 101]

Artikel 8

Verwerking van persoonsgegevens van kinderen

1.  In geval van het rechtstreeks aanbieden van goederen of diensten van de informatiemaatschappij aan kinderen is de verwerking van persoonsgegevens van een kind jonger dan 13 jaar in het kader van deze verordening slechts rechtmatig wanneer en voor zover de ouder of voogd wettelijk vertegenwoordiger van het kind daartoe toestemming heeft gegeven of machtiging tot toestemming heeft verleend. Met inachtneming van de beschikbare technologie doet de voor de verwerking verantwoordelijke dat wat redelijkerwijze van hem kan worden verwacht om verifieerbare dergelijke toestemming te verkrijgen verifiëren zonder anders nodeloze verwerking van persoonsgegevens met zich mee te brengen.

1 bis.  De informatie die aan kinderen, ouders en wettelijke vertegenwoordigers wordt verstrekt om toestemming te verlenen, met inbegrip van informatie betreffende het verzamelen en gebruiken van persoonsgegevens door de voor de verwerking verantwoordelijke, moet in duidelijke en op de doelgroep afgestemde taal worden verschaft.

2.  Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van een overeenkomst ten opzichte van een kind, onverlet.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de Aan het Europees Comité voor gegevensbescherming wordt de taak toevertrouwd om richtsnoeren, aanbevelingen en optimale praktijken te verstrekken voor de methoden ter verkrijging van de in lid 1 bedoelde verifieerbare verificatie van toestemming. Daarbij neemt de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging als bedoeld in lid 1, in overeenstemming met artikel 66.

4.  De Commissie kan standaardformulieren vaststellen voor specifieke methoden ter verkrijging van de in lid 1 bedoelde verifieerbare toestemming. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 102]

Artikel 9

Verwerking van bijzondere categorieën persoonsgegevens Bijzondere gegevenscategorieën

1.  De verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religie of filosofische overtuiging, seksuele gerichtheid of genderidentiteit, of het lidmaatschap of de activiteiten van een vakvereniging blijkt, en de verwerking van genetische of biometrische gegevens of gegevens over gezondheid of seksueel gedrag, of administratieve sancties, uitspraken, strafrechtelijke feiten, verdenkingen, veroordelingen of daarmee verband houdende veiligheidsmaatregelen, zijn verboden.

2.  Lid 1 is niet van toepassing wanneer indien:

a)  de betrokkene voor één of meerdere welbepaalde doeleinden toestemming heeft gegeven voor de verwerking van die persoonsgegevens, mits aan de voorwaarden van de artikelen 7 en 8 is voldaan en het recht van de Unie of het recht van de lidstaat niet bepaalt dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; of

a bis)  de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene; of

b)  de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de uitoefening van specifieke rechten van de voor de verwerking verantwoordelijke op het gebied van arbeidsrecht, voor zover zulks is toegestaan bij het recht van de Unie of het recht van de lidstaat of collectieve overeenkomsten en deze adequate garanties biedt voor de grondrechten en de belangen van de betrokkene, zoals het recht op non-discriminatie, bieden, onverminderd de in artikel 82 bedoelde voorwaarden en waarborgen; of

c)  de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of

d)  de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met de nodige waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar streefdoelen regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt; of

e)  de verwerking betrekking heeft op persoonsgegevens die duidelijk door de betrokkene openbaar zijn gemaakt; of

f)  de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of

g)  de verwerking noodzakelijk is voor de vervulling van een taak van gewichtig algemeen belang, op grond van het recht van de Unie of het recht van de lidstaat dat evenredig dient te zijn aan het nagestreefde rechtmatige doel en de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigt en waarbij passende maatregelen worden vastgesteld ter bescherming van de gerechtvaardigde grondrechten en belangen van de betrokkene. of

h)  de verwerking van gegevens over gezondheid noodzakelijk is voor gezondheidsdoeleinden, mits de in artikel 81 genoemde voorwaarden en waarborgen in acht worden genomen; of

i)  de verwerking noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden, mits de in artikel 83 genoemde voorwaarden en waarborgen in acht worden genomen; of

i bis)  de verwerking noodzakelijk is voor archiefdiensten, mits de in artikel 83 bis genoemde voorwaarden en waarborgen in acht worden genomen; of

j)  de verwerking van gegevens betreffende strafrechtelijke administratieve sancties, uitspraken, strafbare feiten, veroordelingen of daarmee verband houdende veiligheidsmaatregelen wordt uitgevoerd onder toezicht van de overheid of wanneer de verwerking noodzakelijk is om een wettelijke verplichting van de voor de verwerking verantwoordelijke na te komen of voor de vervulling van een taak om gewichtige redenen van algemeen belang, en voor zover zulks is toegestaan bij het recht van de Unie of het recht van de lidstaat en dit recht passende garanties biedt voor de grondrechten en belangen van de betrokkene. Een volledig register van strafrechtelijke veroordelingen mag alleen worden bijgehouden onder toezicht van de overheid.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria, de voorwaarden en de passende garanties Aan het Europees Comité voor gegevensbescherming wordt de taak toevertrouwd om richtsnoeren, aanbevelingen en optimale praktijken te verstrekken voor de verwerking van de in lid 1 genoemde bijzondere categorieën persoonsgegevens en de in lid 2 vastgestelde uitzonderingen, in overeenstemming met artikel 66. [Am. 103]

Artikel 10

Verwerking waarbij identificatie niet mogelijk is

1.  Wanneer de door de voor de verwerking verantwoordelijke of verwerker verwerkte gegevens het voor hem niet mogelijk maken een natuurlijke persoon direct of indirect te identificeren of enkel bestaan uit pseudonieme gegevens, verwerkt of verkrijgt hij, is hij niet verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, geen aanvullende informatie te verkrijgen ter identificatie van de betrokkene.

2.  Wanneer de voor de verwerking verantwoordelijke omwille van lid 1 niet in staat is te voldoen aan een bepaling van deze verordening, is hij niet gehouden die specifieke bepaling van deze verordening na te leven. Wanneer de voor de verwerking verantwoordelijke als gevolg hiervan niet in staat is om te voldoen aan een verzoek van de betrokkene, brengt hij de betrokkene hiervan op de hoogte. [Am. 104]

Artikel 10 bis

Algemene beginselen betreffende de rechten van de betrokkene

1.  De bescherming van gegevens is gebaseerd op volkomen duidelijke rechten voor de betrokkene die de voor de verwerking verantwoordelijke moet eerbiedigen. De bepalingen van deze verordening zijn erop gericht deze rechten te versterken, verduidelijken, waarborgen en waar nodig te codificeren.

2.  Dergelijke rechten omvatten onder meer de verstrekking van duidelijke en gemakkelijk te begrijpen informatie over de verwerking van zijn of haar persoonsgegevens, de rechten van toegang, rectificatie en uitwissing van zijn of haar persoonsgegevens, het recht om gegevens te verkrijgen, het recht om bezwaar te maken tegen profilering, het recht om bezwaar te maken bij de bevoegde gegevensbeschermingsautoriteit en om gerechtelijke procedures aan te spannen om zijn of haar rechten af te dwingen evenals het recht op schadevergoeding ten gevolge van een onrechtmatige verwerking. Dergelijke rechten worden in het algemeen kosteloos uitgeoefend. De voor de verwerking verantwoordelijke reageert binnen een redelijke termijn op verzoeken van de betrokkene. [Am. 105]

HOOFDSTUK III

RECHTEN VAN DE BETROKKENE

AFDELING 1

TRANSPARANTIE EN MODALITEITEN

Artikel 11

Transparante informatieverstrekking en communicatie

1.  Het beleid van de voor de verwerking verantwoordelijke met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de rechten van de betrokkene dient beknopt, transparant, duidelijk en eenvoudig toegankelijk te zijn.

2.  De voor de verwerking verantwoordelijke verschaft de betrokkene in begrijpelijke vorm alle informatie en mededelingen over de verwerking van persoonsgegevens, waarbij duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt, met name in geval van informatie die specifiek voor kinderen is bedoeld. [Am. 106]

Artikel 12

Procedures en mechanismen voor de uitoefening van de rechten van de betrokkene

1.  De voor de verwerking verantwoordelijke stelt procedures vast voor het verstrekken van de in artikel 14 bedoelde informatie en voor de uitoefening van de in artikel 13 en de artikelen 15 tot en met 19 genoemde rechten van de betrokkene. De voor de verwerking verantwoordelijke zorgt met name voor mechanismen die het verzoek om de in de artikel 13 en de artikelen 15 tot en met 19 bedoelde acties vereenvoudigen. Wanneer persoonsgegevens geautomatiseerd worden verwerkt, zorgt de voor de verwerking verantwoordelijke ook voor middelen om verzoeken waar mogelijk elektronisch in te dienen.

2.  De voor de verwerking verantwoordelijke informeert de betrokkene onverwijld zonder onnodig uitstel en uiterlijk binnen een maand veertig kalenderdagen na ontvangst van het verzoek, of er al dan niet actie is ondernomen overeenkomstig artikel 13 en de artikelen 15 tot en met 19, en verstrekt de gevraagde informatie. Deze termijn kan met één maand worden verlengd wanneer verschillende betrokkenen hun rechten uitoefenen en hun samenwerking binnen redelijke grenzen noodzakelijk is om een onnodige en onevenredige inspanning van de voor de verwerking verantwoordelijke te vermijden. De informatie wordt schriftelijk verstrekt en indien mogelijk kan de voor de verwerking verantwoordelijke toegang op afstand geven tot een beveiligd systeem waarop de betrokkene direct toegang heeft tot zijn of haar persoonsgegevens. Wanneer de betrokkene zijn verzoek in elektronische vorm indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

3.  Wanneer de voor de verwerking verantwoordelijk weigert om geen actie te ondernemen onderneemt naar aanleiding van het verzoek van de betrokkene, deelt de voor de verwerking verantwoordelijke de betrokkene de redenen voor de weigering het niet-optreden mee en informeert hij hem over de mogelijkheden een klacht in te dienen bij de toezichthoudende autoriteit en beroep in rechte in te stellen.

4.  De in lid 1 bedoelde informatie en op verzoek verrichte acties zijn gratis. Wanneer verzoeken duidelijk buitensporig zijn, met name vanwege hun repetitieve karakter, kan de voor de verwerking verantwoordelijke een redelijke vergoeding in rekening brengen, daarbij rekening houdend met de administratieve kosten voor het verstrekken van de informatie of het verrichten van de gevraagde actie in rekening brengen, dan wel de gevraagde actie achterwege laten. In dat geval rust de bewijslast met betrekking tot het duidelijk buitensporige karakter van het verzoek op de voor de verwerking verantwoordelijke.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden waaraan moet worden voldaan wil er sprake zijn van duidelijk buitensporige verzoeken en voor de in lid 4 bedoelde vergoedingen.

6.  De Commissie kan standaardformulieren en standaardprocedures vaststellen voor de in lid 2 bedoelde mededeling, ook met betrekking het elektronische model daarvan. Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en middelgrote ondernemingen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 107]

Artikel 13

Rechten met betrekking tot ontvangers Kennisgevingsplicht bij rectificaties en uitwissingen

De voor de verwerking verantwoordelijke stelt iedere ontvanger aan wie gegevens zijn verstrekt doorgegeven op de hoogte van elke overeenkomstig de artikelen 16 en 17 uitgevoerde rectificatie of elk wissen van gegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De voor de verwerking verantwoordelijke brengt de betrokkene op de hoogte van deze ontvangers indien de betrokkene hierom verzoekt. [Am. 108]

Artikel 13 bis

Beleid inzake gestandaardiseerde informatie

1.  Wanneer persoonsgegevens met betrekking tot de betrokkene worden verzameld, verstrekt de voor de verwerking verantwoordelijke de betrokkene de volgende gegevens alvorens informatie te verstrekken overeenkomstig artikel 14:

a)  of de verzameling van persoonsgegevens beperkt wordt tot dat wat voor elk specifiek doeleinde van de verwerking strikt noodzakelijk is;

b)  of de bewaring van persoonsgegevens beperkt wordt tot dat wat voor elk specifiek doeleinde van de verwerking strikt noodzakelijk is;

c)  of persoonsgegevens verwerkt worden voor doeleinden anders dan de doeleinden waarvoor ze verzameld zijn;

d)  of persoonsgegevens worden verspreid onder commerciële derden;

e)  of persoonsgegevens verkocht of verhuurd worden;

f)  of persoonsgegevens gecodeerd bewaard worden.

2.  De in lid 1 bedoelde gegevens worden overeenkomstig de bijlage bij deze verordening weergegeven in uitgelijnde tabelvorm met gebruikmaking van tekst en symbolen, met de volgende drie kolommen:

a)  in de eerste kolom staan vormen afgebeeld die deze gegevens symboliseren;

b)  de tweede kolom bevat belangrijke informatie waarin deze inlichtingen worden beschreven;

c)  in de derde kolom staan grafische vormen afgebeeld die aangeven of aan een specifiek gegeven is voldaan.

3.  De in de leden 1 en 2 bedoelde informatie wordt op goed zichtbare en duidelijk leesbare wijze weergegeven in een taal die eenvoudig te begrijpen is voor de consumenten van de lidstaten waaraan de informatie wordt verstrekt. Wanneer de gegevens elektronisch worden weergegeven, zijn ze machinaal leesbaar.

4.  Aanvullende gegevens worden niet verstrekt. Uitvoerige toelichtingen of aanvullende opmerkingen betreffende de in lid 1 bedoelde gegevens kunnen overeenkomstig artikel 14 samen met de overige informatievereisten worden verstrekt.

5.  De Commissie krijgt de bevoegdheid om, na het Europees Comité voor gegevensbescherming om advies te hebben gevraagd, overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen teneinde de in lid 1 bedoelde gegevens en de weergave van deze gegevens zoals bedoeld in lid 2 en in de bijlage bij deze verordening nader aan te duiden. [Am. 109]

AFDELING 2

INFORMATIE EN TOEGANG TOT GEGEVENS

Artikel 14

Informatieverstrekking aan de betrokkene

1.  Wanneer persoonsgegevens met betrekking tot de betrokkene worden verzameld, verstrekt de voor de verwerking verantwoordelijke de betrokkene ten minste de volgende gegevens, nadat de informatie uit hoofde van artikel 13 bis is verstrekt:

a)  de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de voor de verwerking verantwoordelijke en van de functionaris voor gegevensbescherming;

b)  de specifieke doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd alsook informatie betreffende de beveiliging van de verwerking van persoonsgegevens, met inbegrip van de clausules en algemene voorwaarden van de overeenkomst wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder b), en, in voorkomend geval, informatie over hoe ze de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke wanneer de verwerking is gebaseerd op in artikel 6, lid 1, onder f), bedoelde vereisten uitvoeren en naleven;

c)  de periode gedurende welke de persoonsgegevens worden opgeslagen, of indien dat niet mogelijk is, de criteria die dienen om die termijn te bepalen;

d)  het bestaan van het recht om van de voor de verwerking verantwoordelijke toegang tot en rectificatie of wissen van de persoonsgegevens betreffende de betrokkene te verlangen of om tegen de verwerking van dergelijke persoonsgegevens bezwaar te maken, of om gegevens te verkrijgen;

e)  het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

f)  de ontvangers of categorieën ontvangers van de persoonsgegevens;

g)  in voorkomend geval, waarin de voor de verwerking verantwoordelijke het voornemen heeft de persoonsgegevens door te geven naar een derde land of een internationale organisatie en door dat derde land of die internationale organisatie geboden beschermingsniveau onder verwijzing naar een besluit van de Commissie waarbij het beschermingsniveau passend wordt verklaard, al dan niet bestaat, of in het geval van de doorgiften bedoeld in artikel 42 of artikel 43 de verwijzing naar de passende waarborgen en de middelen om er een kopie van te krijgen;

g bis)  in voorkomend geval informatie over het bestaan van profilering, van maatregelen op basis van profilering en de beoogde gevolgen van profilering voor de betrokkene;

g ter)  betekenisvolle informatie over de logica die aan geautomatiseerde verwerking ten grondslag ligt;

h)  alle verdere informatie die, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld of verwerkt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen, met name het bestaan van bepaalde verwerkingsactiviteiten en -operaties waarvan privacyeffectbeoordelingen een mogelijk hoog risico hebben uitgewezen;

h bis)  in voorkomend geval informatie aangaande de vraag of er gedurende de laatste periode van twaalf opeenvolgende maanden gegevens zijn verstrekt aan overheidsinstanties.

2.  Wanneer de persoonsgegevens bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee of de verstrekking van persoonsgegevens verplicht of facultatief is dan wel op basis van vrijwilligheid geschiedt en wat de mogelijke gevolgen zijn wanneer wordt nagelaten deze gegevens te verstrekken.

2 bis.  Bij hun besluit over de benodigde aanvullende informatie om de verwerking eerlijk te laten verlopen overeenkomstig lid 1, onder d), nemen de voor de verwerking verantwoordelijken de relevante richtlijnen overeenkomstig artikel 34 in aanmerking.

3.  Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee uit welke bron de specifieke persoonsgegevens afkomstig zijn. Indien de gegevens uit openbaar beschikbare bronnen afkomstig zijn, kan een algemene indicatie worden gegeven.

4.  De voor de verwerking verantwoordelijke verstrekt de in de leden 1, 2 en 3 bedoelde informatie:

a)  op het tijdstip waarop de persoonsgegevens van de betrokkene worden verkregen of zonder onnodig uitstel indien het bovenstaande niet mogelijk is; of

a bis)  op verzoek van een orgaan, organisatie of vereniging als bedoeld in artikel 73;

b)  wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, op het tijdstip van vastlegging of binnen een redelijke termijn na de verzameling, met inachtneming van de specifieke omstandigheden waaronder de gegevens worden verzameld of anderszins verwerkt, of, wanneer verstrekking doorgifte van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het moment van de eerste verstrekking van doorgifte, of, ingeval de gegevens gebruikt worden voor communicatie met de betrokkene, uiterlijk bij de eerste communicatie met deze betrokkene; of

b bis)  enkel op verzoek wanneer de gegevens worden verwerkt door een kleine of micro-onderneming die persoonsgegevens slechts als nevenactiviteit verwerkt.

5.  De leden 1 tot en met 4 zijn niet van toepassing wanneer:

a)  de betrokkene reeds over de in de leden 1, 2 en 3 bedoelde informatie beschikt; of

b)  de gegevens worden verwerkt voor historische, statistische of wetenschappelijke doeleinden die zijn onderworpen aan de in artikel 81 of artikel 83 genoemde voorwaarden en waarborgen, de gegevens niet worden verzameld bij de betrokkene en de verstrekking van deze informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, en de voor de verwerking verantwoordelijke deze informatie op een openbare locatie heeft gepubliceerd; of

c)  de gegevens niet worden verzameld bij de betrokkene en de vastlegging of verstrekking uitdrukkelijk bij wet is voorgeschreven waaraan de voor de verwerking verantwoordelijke onderworpen is, welke passende maatregelen voorziet om de gerechtvaardigde belangen van de betrokkene te beschermen, gelet op de risico's die de verwerking en de aard van de persoonsgegevens met zich meebrengen; of

d)  de gegevens niet worden verzameld bij de betrokkene en de verstrekking van deze informatie afbreuk zal doen aan de rechten en vrijheden van anderen andere natuurlijke personen, als gedefinieerd in het recht van de Unie of het recht van de lidstaat overeenkomstig artikel 21;

d bis)  de gegevens in het kader van de uitoefening van zijn functie door een persoon die aan een in het recht van de Unie of het recht van de lidstaat geregeld beroepsgeheim of een wettelijke geheimhoudingsplicht is onderworpen worden verwerkt of aan hem worden meegedeeld of hem bekend worden, behalve wanneer de gegevens rechtstreeks worden verzameld bij de betrokkene.

6.  In het in lid 5, onder b), bedoelde geval neemt de voor de verwerking verantwoordelijke passende maatregelen om de rechten of gerechtvaardigde belangen van de betrokkene te beschermen.

7.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria voor de in lid 1, onder f), bedoelde categorieën ontvangers, de voorschriften voor de in lid 1, onder g), bedoelde kennisgeving inzake de mogelijkheid van toegang, de criteria voor de in artikel 1, onder h), bedoelde noodzakelijke verdere informatie voor specifieke sectoren en situaties en de voorwaarden en passende waarborgen voor de in lid 5, onder b), vermelde uitzonderingen. Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en middelgrote ondernemingen.

8.  De Commissie kan standaardformulieren vaststellen voor het verstrekken van de in de leden 1 tot en met 3 bedoelde informatie, voor zover nodig met inachtneming van de specifieke kenmerken en behoeften van de verschillende sectoren en situaties op het gebied van gegevensverwerking. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 110]

Artikel 15

Recht op toegang tot en het verkrijgen van toegang van gegevens voor de betrokkene

1.  De Behoudens artikel 12, lid 4, heeft de betrokkene heeft het recht om te allen tijde op verzoek uitsluitsel van de voor de verwerking verantwoordelijke te verkrijgen omtrent het al dan niet plaatsvinden van verwerkingen van hem betreffende gegevens, Wanneer verwerkingen van deze persoonsgegevens plaatsvinden, verstrekt de voor de verwerking verantwoordelijke de alsook, in duidelijke en eenvoudige taal, de volgende informatie:

a)  de doeleinden van de verwerking voor elke categorie persoonsgegevens;

b)  de betrokken categorieën persoonsgegevens;

c)  de ontvangers of categorieën ontvangers aan wie de gegevens moeten worden verstrekt of verstrekt zijn, met name inbegrip van ontvangers in derde landen;

d)  de periode gedurende welke de persoonsgegevens worden opgeslagen, of indien dat niet mogelijk is, de criteria die dienen om die termijn te bepalen;

e)  het bestaan van het recht om van de voor de verwerking verantwoordelijke rectificatie of het wissen van persoonsgegevens betreffende de betrokkene te verlangen of om tegen de verwerking van dergelijke persoonsgegevens bezwaar te maken;

f)  het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

g)  de persoonsgegevens waarvan verwerkingen plaatsvinden en alle beschikbare informatie over de bron van die gegevens;

h)  het belang en de verwachte gevolgen van deze verwerking, op zijn minst in het geval van de in artikel 20 bedoelde maatregelen.

h bis)  betekenisvolle informatie over de logica die aan geautomatiseerde verwerking ten grondslag ligt;

h ter)  onverminderd artikel 21, in het geval dat persoonsgegevens op verzoek van een overheidsinstantie aan een overheidsinstantie worden verstrekt, bevestiging van het feit dat dit verzoek heeft plaatsgevonden.

2.  De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke hem meedeelt van welke persoonsgegevens verwerking plaatsvindt. Wanneer de betrokkene zijn verzoek in elektronische vorm indient, wordt de informatie in een elektronisch en gestructureerd formaat verstrekt, tenzij de betrokkene anderszins verzoekt. Onverminderd artikel 10 neemt de voor de verwerking verantwoordelijke alle redelijke maatregelen om na te gaan dat de persoon die verzoekt om toegang tot de gegevens de betrokkene is.

2 bis.  Indien de betrokkene persoonsgegevens heeft verstrekt wanneer persoonsgegevens elektronisch worden verwerkt, heeft de betrokkene het recht om van de voor de verwerking verantwoordelijke een kopie te krijgen van de verstrekte persoonsgegevens in een elektronisch en interoperabel formaat dat algemeen wordt gebruikt en verder door de betrokkene kan worden gebruikt, zonder daarbij te worden belemmerd door de voor de verwerking verantwoordelijke bij wie de persoonsgegevens zijn weggehaald. Wanneer dit technisch mogelijk en beschikbaar is, worden de gegevens op verzoek van de betrokkene rechtstreeks doorgegeven van de ene voor de verwerking verantwoordelijke naar de andere.

2 ter.  Dit artikel geldt onverminderd de verplichting krachtens artikel 5, lid 1, onder e), om gegevens te wissen wanneer ze niet langer noodzakelijk zijn.

2 quater.  Het recht op toegang overeenkomstig de leden 1 en 2 geldt niet als het gaat om gegevens in de zin van artikel 14, lid 5, onder d bis), tenzij de betrokkene gemachtigd is de betreffende geheimhouding op te heffen en dienovereenkomstig handelt.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de mededeling aan de betrokkene van de inhoud van de in lid 1, onder g), bedoelde persoonsgegevens.

4.  De Commissie kan standaardformulieren en standaardprocedures vaststellen voor het verzoek om en de verlening van toegang tot de in lid 1 bedoelde informatie, onder andere voor de controle van de identiteit van de betrokkene en voor het meedelen van de persoonsgegevens aan de betrokkene, met inachtneming van de specifieke kenmerken en behoeften van de verschillende sectoren en situaties op het gebied van gegevensverwerking. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 111]

AFDELING 3

RECTIFICATIE EN HET WISSEN VAN GEGEVENS

Artikel 16

Recht van rectificatie

De betrokkene heeft recht op rectificatie van hem of haar betreffende onjuiste persoonsgegevens door de voor de verwerking verantwoordelijke. De betrokkene heeft recht op completering van onvolledige persoonlijke persoonsgegevens, onder meer door toevoeging van een rectificerende verklaring.

Artikel 17

Recht om te worden vergeten en om gegevens te laten wissen

1.  De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke ervoor zorgt dat hem of haar betreffende gegevens worden gewist en de verdere verspreiding van dergelijke gegevens achterwege blijft, met name waar het gaat om persoonsgegevens die door de betrokkene als kind beschikbaar zijn gesteld, en dat derden ervoor zorgen dat iedere koppeling naar, of kopie of reproductie van die gegevens wordt gewist, wanneer een van de volgende gronden van toepassing is:

a)  de gegevens zijn niet langer nodig in verband met de doeleinden waarvoor zij werden verzameld of anderszins verwerkt;

b)  de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, onder a), is gebaseerd, in of de toegestane termijn voor opslag is verstreken terwijl een andere grond voor de verwerking van de gegevens ontbreekt;

c)  de betrokkene maakt bezwaar tegen de verwerking van de persoonsgegevens overeenkomstig artikel 19;

c bis)  een rechtbank of regelgevende instantie in de Unie heeft de rechtsgeldige uitspraak gedaan dat de betreffende gegevens moeten worden gewist;

d)  de verwerking van de gegevens voldoet op andere gronden niet aan deze verordening zijn onrechtmatig verwerkt.

1 bis.  De toepassing van lid 1 hangt af van het vermogen van de voor de verwerking verantwoordelijke om na te gaan dat de persoon die om het wissen verzoekt de betrokkene is.

2.  Wanneer de in lid 1 bedoelde voor de verwerking verantwoordelijke de persoonsgegevens openbaar heeft gemaakt zonder de in artikel 6, lid 1, bedoelde verantwoording, neemt hij alle redelijke maatregelen, waaronder technische maatregelen, ten aanzien van om de gegevens die onder zijn verantwoordelijkheid openbaar zijn gemaakt, teneinde te laten wissen, eveneens door derden, die deze gegevens verwerken ervan op de hoogte te stellen dat een betrokkene hun verzoekt ieder koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen. Wanneer de onverminderd artikel 77. De voor de verwerking verantwoordelijke toestemming heeft gegeven voor openbaarmaking van persoonsgegevens informeert de betrokkene indien mogelijk over de stappen die door een derde, wordt de voor de verwerking verantwoordelijke voor die openbaarmaking verantwoordelijk geacht de derden genomen worden.

3.  De voor de verwerking verantwoordelijke gaat en, in voorkomend geval, de derde gaan onverwijld tot het wissen over, zij het niet voor zover het nodig is de persoonsgegevens te bewaren:

a)  voor de uitoefening van het recht op vrijheid van meningsuiting overeenkomstig artikel 80;

b)  om redenen van algemeen belang op het gebied van de volksgezondheid overeenkomstig artikel 81;

c)  voor historische, statistische of wetenschappelijke doeleinden overeenkomstig artikel 83;

d)  ter voldoening aan een wettelijke verplichting tot bewaring van de persoonsgegevens op grond van het recht van de Unie of het recht van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is; de nationale wetgeving moet beantwoorden aan een doelstelling van algemeen belang, moet de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigen en moet evenredig zijn aan het nagestreefde rechtmatige doel.

e)  in de in lid 4 bedoelde gevallen.

4.  De voor de verwerking verantwoordelijke beperkt de verwerking van persoonsgegevens in plaats van deze te wissen en wel zodanig dat de persoonsgegevens niet onder de normale operaties voor gegevenstoegang en -verwerking vallen en niet langer kunnen worden gewijzigd, wanneer:

a)  de juistheid ervan door de betrokkene wordt betwist, gedurende een periode die de voor de verwerking verantwoordelijke in staat stelt de juistheid van de gegevens te controleren;

b)  de voor de verwerking verantwoordelijke de persoonsgegevens niet langer voor de uitvoering van zijn taken nodig heeft, maar die gegevens nog moeten worden bewaard ten behoeve van bewijsvoering;

c)  de verwerking ervan onrechtmatig is en de betrokkene zich tegen het wissen ervan verzet en in de plaats daarvan om beperking van het gebruik ervan verzoekt;

c bis)  een rechtbank of regelgevende instantie in de Unie de definitieve en rechtsgeldige uitspraak heeft gedaan dat de betreffende verwerking moeten worden beperkt;

d)  de betrokkene verzoekt om doorgifte van de persoonsgegevens naar een ander geautomatiseerd verwerkingssysteem overeenkomstig artikel 18, lid 2 artikel 15, lid 2 bis;

d bis)  de specifieke opslagtechnologie wissen niet toelaat en geïnstalleerd is vóór de inwerkingtreding van deze verordening.

5.  De in lid 4 bedoelde persoonsgegevens worden, afgezien van de opslag ervan, slechts verwerkt ten behoeve van bewijsvoering of met toestemming van de betrokkene of ter bescherming van de rechten van een andere natuurlijke of rechtspersoon of voor een doelstelling van algemeen belang.

6.  Wanneer de verwerking van persoonsgegevens op grond van artikel 4 is beperkt, informeert de voor de verwerking verantwoordelijke de betrokkene alvorens de beperking inzake de verwerking op te heffen.

7.  De voor de verwerking verantwoordelijke stelt mechanismen vast om ervoor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens, in acht worden genomen.

8.  Wanneer de persoonsgegevens worden gewist, verwerkt de voor de verwerking verantwoordelijke deze gegevens niet anderszins.

8 bis.  De voor de verwerking verantwoordelijke stelt mechanismen vast om ervoor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens, in acht worden genomen.

9.  De Commissie is bevoegd om, nadat zij het advies van het Europees Comité voor gegevensbescherming heeft ingewonnen, overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van:

a)  de criteria en de vereisten voor de toepassing van lid 1 met betrekking tot specifieke sectoren en in specifieke situaties op het gebied van gegevensverwerking.

b)  de voorwaarden voor het verwijderen van koppelingen naar, kopieën of reproducties van persoonsgegevens uit algemeen beschikbare communicatiediensten als bedoeld in lid 2;

c)  de criteria en voorwaarden voor het beperken van de verwerking van persoonsgegevens als bedoeld in lid 4. [Am. 112]

Artikel 18

Recht van gegevensoverdraagbaarheid

1.  Wanneer persoonsgegevens elektronisch en in een gestructureerd en algemeen gebruikt formaat worden verwerkt, heeft de betrokkene het recht om van de voor de verwerking verantwoordelijke een kopie te krijgen van de gegevens die worden verwerkt in een elektronisch en gestructureerd formaat dat algemeen wordt gebruikt en verder door de betrokkene kan worden gebruikt.

2.  Wanneer de betrokkene persoonsgegevens heeft verstrekt en de verwerking daarvan plaatsvindt op basis van toestemming of een overeenkomst, heeft de betrokkene het recht om deze persoonsgegevens en alle andere informatie die hij heeft verstrekt en die door middel van een geautomatiseerd verwerkingssysteem wordt bewaard, in een algemeen gebruikt elektronisch formaat over te dragen naar een ander geautomatiseerd verwerkingssysteem, zonder daarbij door de voor de verwerking verantwoordelijke bij wie de persoonsgegevens zijn weggehaald, te worden belemmerd.

3.  De Commissie kan het in lid 1 bedoelde elektronische formaat en de technische normen, de modaliteiten en de procedures voor het overeenkomstig lid 2 overdragen van persoonsgegevens, nader bepalen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 113]

AFDELING 4

RECHT VAN BEZWAAR EN PROFILERING

Artikel 19

Recht van bezwaar

1.  De betrokkene heeft het recht te allen tijde op gronden die verband houden met zijn bijzondere situatie bezwaar te maken tegen de verwerking op basis van artikel 6, lid 1, onder d) en e) en f), van persoonsgegevens, tenzij de voor de verwerking verantwoordelijke dwingende legitieme gronden voor de verwerking aantoont die zwaarder wegen dan de belangen of de grondrechten en fundamentele vrijheden van de betrokkene.

2.  Wanneer de verwerking van persoonsgegevens ten behoeve van direct marketing worden verwerkt gebaseerd is op artikel 6, lid 1, onder f), heeft de betrokkene te allen tijde het recht om zonder enige nadere motivering in het algemeen of met een specifiek doel kosteloos bezwaar te maken tegen de verwerking van zijn of haar persoonsgegevens voor deze marketing. Dit recht wordt de betrokkene uitdrukkelijk en op begrijpelijke wijze geboden en moet duidelijk van overige informatie kunnen worden onderscheiden.

2 bis.   Het in lid 2 bedoelde recht wordt de betrokkene uitdrukkelijk, op begrijpelijke wijze en in een begrijpelijk formaat geboden, in duidelijke en eenvoudige taal, met name wanneer dit specifiek tot een kind is gericht, en dit moet duidelijk van overige informatie kunnen worden onderscheiden.

2 ter.  In het kader van het gebruik van diensten van de informatiemaatschappij en onverminderd Richtlijn 2002/58/EG, mag het recht bezwaar te maken worden uitgeoefend via geautomatiseerde procedés met behulp van een technische norm die de betrokkene de mogelijkheid biedt om zijn wensen duidelijk te uiten.

3.  Wanneer een bezwaar op grond van de leden 1 en 2 gegrond wordt verklaard, worden de betrokken persoonsgegevens door de voor de verwerking verantwoordelijke niet langer voor de in het bezwaar omschreven doeleinden gebruikt of anderszins verwerkt. [Am. 114]

Artikel 20

Profilering

1.  Iedere Onverminderd de bepalingen van artikel 6, heeft iedere natuurlijke persoon heeft het recht niet te worden onderworpen aan een maatregel waaraan voor hem rechtsgevolgen zijn verbonden of die hem in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen bezwaar te maken tegen profilering overeenkomstig artikel 19. De betrokkene wordt op een uiterst zichtbare manier geïnformeerd over het recht om bezwaar te maken tegen profilering.

2.  Onverminderd het bepaalde in de overige artikelen de andere bepalingen van deze verordening mag een persoon alleen aan een maatregel als bedoeld in lid 1 enkel aan profilering leidend tot maatregelen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen worden onderworpen, wanneer de verwerking:

a)  wordt uitgevoerd in noodzakelijk is voor het kader van het sluiten of het uitvoeren van een overeenkomst en aan het door de betrokkene ingediende verzoek tot het sluiten of het uitvoeren van de overeenkomst is voldaan, of voor zover passende maatregelen zijn aangeboden ter bescherming van de gerechtvaardigde belangen van de betrokkene; zoals het recht op menselijke tussenkomst; of

b)  uitdrukkelijk is toegestaan op grond van het recht van de Unie of het recht van de lidstaat en in dit recht ook passende maatregelen zijn opgenomen ter bescherming van de gerechtvaardigde belangen van de betrokkene; of

c)  plaatsvindt op grond van de toestemming van de betrokkene, mits aan de voorwaarden van artikel 7 wordt voldaan en passende waarborgen worden geboden.

3.  De geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van de persoonlijkheid van een natuurlijke persoon te beoordelen, Profilering die leidt tot discriminatie van personen op grond van ras of etnische afkomst, politieke opvattingen, godsdienst of overtuiging, het lidmaatschap van een vakbond, seksuele gerichtheid of genderidentiteit, dan wel resulteert in maatregelen met dat effect, is verboden. De voor de verwerking verantwoordelijke zorgt voor doeltreffende bescherming tegen mogelijke discriminatie als gevolg van profilering. Profilering wordt niet uitsluitend gebaseerd op de in artikel 9 bedoelde bijzondere categorieën persoonsgegevens.

4.  In de in lid 2 bedoelde gevallen omvat de informatie die op grond van artikel 14 door de voor de verwerking verantwoordelijke moet worden verstrekt, informatie over de eventuele verwerking voor een maatregel in de zin van lid 1 en de met deze verwerking beoogde gevolgen voor de betrokkene.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling Profilering leidend tot maatregelen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen, is niet enkel of hoofdzakelijk gebaseerd op geautomatiseerde verwerking en omvat menselijke beoordeling, met inbegrip van een toelichting van het besluit dat na dergelijke beoordeling wordt genomen. De van de criteria en de voorwaarden voor passende maatregelen ter bescherming van de in lid 2 bedoelde gerechtvaardigde belangen van de betrokkene omvatten het recht op menselijke beoordeling en een toelichting van het besluit dat na dergelijke beoordeling wordt genomen.

5 bis.  Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 66, lid 1, onder b), met het oog op de nadere invulling van de criteria en de voorwaarden voor profilering overeenkomstig lid 2. [Am. 115]

AFDELING 5

Beperkingen

Artikel 21

Beperkingen

1.  De reikwijdte van de in artikel 5, onder a) tot en met e), en de artikelen 11 tot en met 20 19 en artikel 32 neergelegde verplichtingen en rechten mogen bij EU-wetgeving het recht van de Unie of recht van de lidstaat door middel van een wettelijke maatregel worden beperkt, wanneer op voorwaarde dat een dergelijke beperking aan een duidelijk gedefinieerde doelstelling van algemeen belang beantwoordt, de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigt, evenredig is aan het nagestreefde rechtmatige doel, de fundamentele rechten en belangen van de betrokkene respecteert en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

a)  de openbare veiligheid;

b)  de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten;

c)  andere algemene belangen van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden; en de bescherming van de marktstabiliteit en –integriteit;

d)  de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;

e)  een taak op het gebied van toezicht, inspectie of regelgeving die verbonden is, ook al is dit incidenteel, met in het kader van de uitoefening van het bevoegd openbaar gezag in de onder a), b), c) en d), bedoelde gevallen;

f)  de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

2.  De in lid 1 bedoelde wettelijke maatregelen moeten in een democratische samenleving noodzakelijk en evenredig zijn en bevatten met name specifieke bepalingen met betrekking tot ten minste: de doelstellingen die met de verwerking moeten worden nagestreefd en de vaststelling van de voor de verwerking verantwoordelijke.

a)  de doelstellingen die met de verwerking moeten worden nagestreefd;

b)  de vaststelling van de voor de verwerking verantwoordelijke;

c)  de specifieke doeleinden van en de middelen voor de verwerking;

d)  de waarborgen ter voorkoming van misbruik of onwettige toegang of overdracht;

e)  het recht van betrokkenen om op de hoogte te worden gesteld van de beperking.

2 bis.  De in lid 1 bedoelde wettelijke maatregelen geven de particuliere voor de verwerking verantwoordelijken geen toestemming en verplichten hen niet om andere gegevens te bewaren dan die welke strikt noodzakelijk zijn voor het oorspronkelijke doel. [Am. 116]

HOOFDSTUK IV

DE VOOR DE VERWERKING VERANTWOORDELIJKE EN DE VERWERKER

AFDELING 1

ALGEMENE VERPLICHTINGEN

Artikel 22

Verantwoordelijkheden en verantwoordingsplicht van de voor de verwerking verantwoordelijke

1.  De voor de verwerking verantwoordelijke stelt passend beleid vast en voert passende en aantoonbare technische en organisatorische maatregelen uit om ervoor te zorgen en op een transparante manier te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd, waarbij rekening wordt gehouden met de stand van de techniek, het soort verwerking van persoonsgegevens, de context, de omvang en het doel van de verwerking, de risico's voor de rechten en vrijheden van betrokkenen en het type organisatie, zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf.

1 bis.  Met inachtneming van de stand van de techniek en de uitvoeringskosten neemt de voor de verwerking verantwoordelijke alle redelijke maatregelen om het nalevingsbeleid en de –procedures uit te voeren die de autonome keuze van de betrokkenen permanent respecteren. Dit nalevingsbeleid wordt ten minste om de twee jaar geëvalueerd en zo nodig bijgewerkt.

2.  De in lid 1 bedoelde maatregelen betreffen met name:

(f)  het bewaren van documentatie overeenkomstig artikel 28;

(g)  het voldoen aan de in artikel 30 vastgestelde vereisten inzake gegevensbeveiliging;

(h)  het uitvoeren van een privacyeffectbeoordeling overeenkomstig artikel 33;

(i)  het voldoen aan de eisen inzake voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit overeenkomstig artikel 34, leden 1 en 2;

(j)  het aanwijzen van een functionaris voor gegevensbescherming overeenkomstig artikel 35, lid 1.

3.  De voor de verwerking verantwoordelijke stelt mechanismen in om ervoor te zorgen dat is in staat de toereikendheid en doeltreffendheid van de in de leden 1 en 2 bedoelde maatregelen aan te tonen. Alle regelmatige algemene verslagen over de activiteiten van de voor de verwerking verantwoordelijke, zoals de verplichte verslagen wordt getoetst. Deze toetsing uitgevoerd door onafhankelijke interne of externe controleurs, indien die maatregel evenredig is . beursgenoteerde ondernemingen, bevatten een beknopte beschrijving van het beleid en de maatregelen als bedoeld in lid 1.

3 bis.  De voor de verwerking verantwoordelijke heeft het recht om persoonsgegevens in de Unie door te geven binnen de groep van ondernemingen waar hij onderdeel van uitmaakt, indien dergelijke verwerking noodzakelijk is omwille van rechtmatige interne administratieve belangen tussen met elkaar verbonden bedrijfsactiviteiten van de groep van ondernemingen en op voorwaarde dat wordt gezorgd voor een passend niveau van gegevensbescherming en dat de belangen van de betrokkenen gewaarborgd zijn door middel van interne bepalingen voor gegevensbescherming of gelijkwaardige gedragscodes zoals bedoeld in artikel 38.

4.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van eventuele nadere criteria en vereisten voor andere in lid 1 bedoelde passende maatregelen dan die welke reeds in lid 2 worden genoemd, van de voorwaarden voor de in lid 3 bedoelde toetsings- en controlemechanismen en van de criteria voor evenredigheid als bedoeld in lid 3, waarbij de mogelijkheid van specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging wordt genomen. [Am. 117]

Artikel 23

Privacy by design en by default

1.  De voor de verwerking verantwoordelijke en de verwerker, indien aanwezig, passen, met inachtneming van de stand van de techniek en de uitvoeringskosten, het actuele technische kennisniveau, internationale optimale praktijken en de met de gegevensverwerking verbonden risico's, zowel bij de vaststelling van de doelstellingen en de middelen voor de verwerking als bij de verwerking zelf, passende en evenredige technische en organisatorische maatregelen en procedures toe op een zodanige wijze dat de verwerking aan de voorwaarden van deze verordening voldoet en de bescherming van de rechten van de betrokkene gewaarborgd is, in het bijzonder met het oog op de in artikel 5 genoemde beginselen. Gegevensbescherming by design is met name gericht op het beheer van de hele levenscyclus van persoonsgegevens, vanaf het verzamelen tot het verwerken en verwijderen, waarbij stelselmatig aandacht wordt besteed aan allesomvattende procedurele waarborgen met betrekking tot de nauwkeurigheid, de vertrouwelijkheid, de integriteit, de fysieke veiligheid en de verwijdering van persoonsgegevens. Indien de voor de verwerking verantwoordelijke ingevolge artikel 33 een privacyeffectbeoordeling heeft uitgevoerd, worden de resultaten daarvan in acht genomen bij de ontwikkeling van die maatregelen en procedures.

1 bis.  Ter bevordering van de wijdverbreide uitvoering in verschillende economische sectoren, vormt gegevensbescherming by design een voorwaarde voor inschrijvingen op overheidsopdrachten overeenkomstig Richtlijn 2004/18/EG van het Europees Parlement en de Raad(18) alsook overeenkomstig Richtlijn 2004/17/EG van het Europees Parlement en de Raad(19) (de richtlijn nutsbedrijven).

2.  De voor de verwerking verantwoordelijke stelt mechanismen in om zorgt ervoor te zorgen dat in beginsel alleen de die persoonsgegevens worden verwerkt die voor elk specifiek doeleinde van de verwerking nodig zijn en met name het verzamelen, bewaren of het bewaren verspreiden van die gegevens zich, zowel wat betreft de hoeveelheid gegevens als de periode van opslag daarvan, beperkt tot dat wat voor die doeleinden strikt noodzakelijk is. Deze mechanismen zorgen met name ervoor dat persoonsgegevens in beginsel niet voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt en dat de betrokkenen controle hebben over de verspreiding van hun persoonsgegevens.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in de leden 1 en 2 bedoelde passende maatregelen en mechanismen, met name de vereisten voor gegevensbescherming by design die voor alle sectoren, producten en diensten van toepassing zijn.

4.  De Commissie kan technische normen vaststellen voor de in de leden 1 en 2 vermelde vereisten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 118]

Artikel 24

Gezamenlijk voor de verwerking verantwoordelijken

Wanneer een verschillende voor de verwerking verantwoordelijke verantwoordelijken de doeleinden, voorwaarden en middelen voor de verwerking van persoonsgegevens samen met anderen vaststelt gezamenlijk vaststellen, stellen de gezamenlijk voor de verwerking verantwoordelijken door middel van een onderlinge regeling hun respectieve verantwoordelijkheden vast voor de nakoming van de verplichtingen uit hoofde van deze verordening, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van de betrokkene. Deze regeling geeft naar behoren weer welke effectieve rol de gezamenlijk voor de verwerking verantwoordelijken respectievelijk vervullen en wat hun respectieve verhouding met de betrokkenen is, en de wezenlijke inhoud van de regeling wordt aan de betrokkenen beschikbaar gesteld. Indien de verantwoordelijkheid onduidelijk is, zijn de voor de verwerking verantwoordelijken gezamenlijk hoofdelijk aansprakelijk. [Am. 119]

Artikel 25

Vertegenwoordigers van niet in de Unie gevestigde voor de verwerking verantwoordelijken

1.  In de in artikel 3, lid 2, bedoelde situatie wijst de voor de verwerking verantwoordelijke een vertegenwoordiger in de Unie aan.

2.  Deze verplichting is niet van toepassing op:

a)  een in een derde land gevestigde voor de verwerking verantwoordelijke, wanneer de Commissie overeenkomstig artikel 41 heeft besloten dat het derde land een passend beschermingsniveau waarborgt; of

b)  een onderneming met minder dan 250 werknemers; een voor de verwerking verantwoordelijke die in een achtereenvolgende periode van 12 maanden persoonsgegevens van minder dan 5000 betrokkenen verwerkt en geen speciale categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1, gegevens over de verblijfplaats of gegevens over kinderen of werknemers in grote bestanden verwerkt; of

c)  een overheidsinstantie of –orgaan; of

d)  een voor de verwerking verantwoordelijke die slechts incidenteel goederen of diensten aanbiedt aan betrokkenen in de Unie, wonende betrokkenen tenzij de verwerking van persoonsgegevens betrekking heeft op speciale categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1, gegevens over de verblijfplaats of gegevens over kinderen of werknemers in grote bestanden.

3.  De vertegenwoordiger is gevestigd in een van de lidstaten waar de betrokkenen waarvan de persoonsgegevens in verband met het hun het aanbieden van goederen of diensten worden verwerkt of waarvan het gedrag wordt geobserveerd, wonen aan de betrokkenen, of het toezicht daarop, plaatsvindt.

4.  De aanwijzing van een vertegenwoordiger door de voor de verwerking verantwoordelijke laat de vorderingen die tegen de voor de verwerking verantwoordelijke zelf zouden kunnen worden ingesteld, onverlet. [Am. 120]

Artikel 26

Verwerker

1.  Wanneer een verwerking namens de voor de verwerking verantwoordelijke moet worden uitgevoerd, kiest de voor de verwerking verantwoordelijke een verwerker die voldoende waarborgen biedt voor de tenuitvoerlegging van passende technische en organisatorische maatregelen en procedures op dusdanige wijze dat de verwerking voldoet aan de vereisten van deze verordening en de bescherming van de rechten van de betrokkene gewaarborgd is, met name met betrekking tot de technische beveiligingsmaatregelen en de organisatorische maatregelen inzake de te verrichten verwerking, en zorgt hij ervoor dat deze maatregelen in acht worden genomen.

2.  De uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of door een andere rechtshandeling die de verwerker ten opzichte van de voor de verwerking verantwoordelijke bindt en waarin met name wordt bepaald De voor de verwerking verantwoordelijke en de verwerker mogen zelf bepalen wat hun respectieve rol en taken zijn met betrekking tot de voorwaarden van deze verordening en zorgen ervoor dat de verwerker:

a)  slechts handelt in opdracht van de voor de verwerking verantwoordelijke, met name wanneer de doorgifte van de persoonsgegevens is verboden persoonsgegevens verwerkt, tenzij anders voorgeschreven door het recht van de Unie of het recht van de lidstaat;

b)  slechts personeel in dienst neemt dat zich ertoe heeft verplicht vertrouwelijkheid in acht te nemen of een wettelijke vertrouwelijkheidsplicht heeft;

c)  alle uit hoofde van artikel 30 vereiste maatregelen neemt;

d)  slechts met voorafgaande toestemming van de voor de verwerking verantwoordelijke de voorwaarden voor het in dienst nemen van een andere verwerker in dienst neemt vaststelt, tenzij anders bepaald;

e)  voor zover dit gelet op de aard van de verwerking mogelijk is, met akkoord van de voor de verwerking verantwoordelijke de nodige passende en relevante technische en organisatorische voorwaarden schept waardoor de voor de verwerking verantwoordelijke zijn verplichting te voldoen aan de verzoeken tot uitoefening van de in hoofdstuk III neergelegde rechten van de betrokkene, kan nakomen;

f)  de voor de verwerking verantwoordelijk verantwoordelijke bijstaat om ervoor te zorgen dat de verplichtingen uit hoofde van de artikelen 30 tot en met 34 worden nagekomen, waarbij de aard van de verwerking en de voor de verwerker beschikbare informatie in aanmerking worden genomen;

g)  de voor de verwerking verantwoordelijke na de beëindiging van de verwerking alle resultaten overhandigt en teruggeeft, de persoonsgegevens niet anderszins verwerkt en bestaande kopieën verwijdert, tenzij in het recht van de Unie of het recht van de lidstaat wordt geëist dat de gegevens worden opgeslagen;

h)  de voor de verwerking verantwoordelijke en de toezichthoudende autoriteit alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te controleren tonen en inspecties ter plaatse toestaat.

3.  De voor de verwerking verantwoordelijke en de verwerker leggen de instructies van de voor de verwerking verantwoordelijke en de verplichtingen van de verwerker die in lid 2 zijn genoemd, vast in een document.

3 bis.  De in lid 1 bedoelde voldoende waarborgen kunnen worden aangetoond door gedragscodes of certificeringsmechanismen te onderschrijven overeenkomstig artikel 38 of 39 van deze verordening.

4.  Wanneer een verwerker persoonsgegevens verwerkt anders dan volgens de instructies van de voor de verwerking verantwoordelijke, of de bepalende partij wordt met betrekking tot de doeleinden en middelen van de gegevensverwerking, wordt de verwerker met betrekking tot die verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de in artikel 24 neergelegde regels voor gezamenlijk voor de verwerking verantwoordelijken gelden.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de verantwoordelijkheden, plichten en taken met betrekking tot een verwerker overeenkomstig lid 1, en van de voorwaarden ter bevordering van de verwerking van persoonsgegevens binnen een groep van ondernemingen, met name met het oog op controle en verslaglegging. [Am. 121]

Artikel 27

Verwerking onder gezag van de voor de verwerking verantwoordelijke en de verwerker

De verwerker en eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, verwerkt deze slechts in opdracht van de voor de verwerking verantwoordelijke, tenzij hij op grond van het recht van de Unie of het recht van de lidstaat tot de verwerking verplicht is.

Artikel 28

Documenten

1.  Alle voor de verwerking verantwoordelijken, verwerkers alsmede, in voorkomend geval, vertegenwoordigers van de voor de verwerking verantwoordelijke bewaren de regelmatig bijgewerkte documenten inzake alle verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden die nodig zijn om te voldoen aan de in deze verordening vastgestelde vereisten.

2.  Daarnaast bewaren alle voor de verwerking verantwoordelijken en alle verwerkers de documenten bevatten ten minste inzake de volgende gegevens:

a)  de naam en de contactgegevens van de voor de verwerking verantwoordelijke of de eventuele gezamenlijk voor de verwerking verantwoordelijke of verwerker, en van de vertegenwoordiger, in voorkomend geval;

b)  de naam en de contactgegevens van de functionaris voor gegevensbescherming, in voorkomend geval;

c)  de doeleinden van de verwerking, waaronder de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder f);

d)  een beschrijving van de categorieën betrokkenen en van de categorieën hen betreffende persoonsgegevens;

e)  de ontvangers of categorieën ontvangers van persoonsgegevens, met inbegrip de naam en de contactgegevens van de voor de verwerking verantwoordelijken aan wie de persoonsgegevens zijn verstrekt met het oog op de door hen nagestreefde gerechtvaardigde belangen, in voorkomend geval;

f)  indien van toepassing, de doorgifte van gegevens naar een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 44, lid 1, onder h), bedoelde doorgiften, de documenten inzake de passende garanties;

g)  een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens moeten worden gewist;

h)  de beschrijving van de in artikel 22, lid 3, bedoelde mechanismen.

3.  De voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke, stellen de toezichthoudende autoriteit de documenten op verzoek ter beschikking.

4.  De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op de volgende voor de verwerking verantwoordelijken en verwerkers:

a)  een natuurlijke persoon die zonder commerciële belangen persoonsgegevens verwerkt; of

b)  een onderneming of organisatie met minder dan 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerkt.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1 bedoelde documenten, teneinde met name de verantwoordelijkheden in acht te nemen van de voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, van de vertegenwoordiger van de voor de verwerking verantwoordelijke.

6.  De Commissie kan standaardformulieren vaststellen voor de in lid 1 bedoelde documenten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 122]

Artikel 29

Medewerking met de toezichthoudende autoriteit

1.  De voor de verwerking verantwoordelijke en, in voorkomend geval, de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke verlenen op verzoek hun medewerking aan met de toezichthoudende autoriteit bij de uitoefening van diens taken, met name door het verstrekken van de in artikel 53, lid 2, onder a), bedoelde informatie en door het verschaffen van toegang als bepaald in dat lid, onder b).

2.  Wanneer de toezichthoudende autoriteit haar bevoegdheden uit hoofde van artikel 53, lid 2, uitoefent, antwoorden de voor de verwerking verantwoordelijke en de verwerker de toezichthoudende autoriteit binnen een redelijke, door de toezichthoudende autoriteit te bepalen termijn. Het antwoord omvat een beschrijving van de in aansluiting op de opmerkingen van de toezichthoudende autoriteit genomen maatregelen en behaalde resultaten. [Am. 123]

AFDELING 2

GEGEVENSBEVEILIGING

Artikel 30

Beveiliging van de verwerking

1.  De voor de verwerking verantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om een gelet passend beveiligingsniveau te waarborgen met het oog op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, passend beveiligingsniveau te waarborgen meebrengt, waarbij rekening wordt gehouden met de resultaten van een privacyeffectbeoordeling overeenkomstig artikel 3, alsmede met de stand van de techniek en met de kosten van uitvoering van de maatregelen.

1 bis.  Een dergelijk veiligheidsbeleid omvat, met inachtneming van de stand van de techniek en de kosten van uitvoering, de volgende elementen:

a)  de mogelijkheid ervoor te zorgen dat de integriteit van de persoonsgegevens wordt bekrachtigd;

b)  de mogelijkheid te voorzien in een voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten die persoonsgegevens verwerken;

c)  de mogelijkheid om de beschikbaarheid van en toegang tot gegevens ingeval van een fysiek of technisch incident met gevolgen voor de beschikbaarheid, integriteit en de vertrouwelijkheid van informatiesystemen en -diensten, te herstellen;

d)  ingeval van verwerking van gevoelige persoonsgegevens overeenkomstig artikel 8 en 9 worden bijkomende veiligheidsmaatregelen getroffen om te zorgen voor omgevingsbewustzijn met betrekking tot de risico's en het vermogen om bijna real-time preventieve, corrigerende en beperkende maatregelen te treffen indien er kwetsbare plekken of incidenten worden ontdekt die een bedreiging kunnen vormen voor de gegevens;

e)  een proces voor het regelmatig testen, meten en evalueren van de doeltreffendheid van bestaand veiligheidsbeleid en bestaande veiligheidsprocedures en -plannen, teneinde deze doeltreffendheid voortdurend te waarborgen.

2.  De voor de verwerking verantwoordelijke en de verwerker nemen, na een evaluatie van de risico’s, de in lid 1 bedoelde maatregelen ter bescherming van persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, of tegen verlies en om andere vormen van onrechtmatige verwerking te voorkomen, met name ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens zorgen er ten minste voor dat:

a)  wordt gewaarborgd dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens;

b)  opgeslagen of verzonden persoonsgegevens worden beschermd tegen onbedoelde of onrechtmatige vernietiging, onbedoeld verlies of wijziging, en ongeoorloofde of onrechtmatige opslag, verwerking, toegang of verstrekking; en

c)  er een veiligheidsbeleid wordt ingevoerd met betrekking tot de verwerking van persoonsgegevens.

3.  De Commissie is bevoegd Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden 66, lid 1, onder b), voor de in de leden 1 en 2 bedoelde technische en organisatorische maatregelen, waaronder de vaststelling van de stand van de techniek, voor specifieke sectoren en in specifieke situaties op het gebied van gegevensverwerking, waarbij met name rekening wordt gehouden met technologische ontwikkelingen en oplossingen inzake privacy by design en gegevensbescherming by default. tenzij lid 4 van toepassing is.

4.  De Commissie kan zo nodig uitvoeringshandelingen vaststellen om de in de leden 1 en 2 vastgestelde voorschriften toe te snijden op verschillende situaties, met name om:

a)  ongeoorloofde toegang tot persoonsgegevens te voorkomen;

b)  te voorkomen dat persoonsgegevens ongeoorloofd worden verstrekt, gelezen, gekopieerd, gewijzigd, gewist of verwijderd;

c)  ervoor te zorgen dat de rechtmatigheid van verwerkingen wordt geverifieerd.

Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 124]

Artikel 31

Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

1.  In geval van een inbreuk in verband met persoonsgegevens meldt de voor de verwerking verantwoordelijke de toezichthoudende autoriteit deze inbreuk zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen. Wanneer de melding aan de toezichthoudende autoriteit niet binnen 24 plaatsvindt, gaat deze vergezeld van een motivering.

2.  In overeenstemming met artikel 26, lid 2, onder f), De verwerker waarschuwt en informeert de verwerker de voor de verwerking verantwoordelijke onmiddellijk zonder onnodige vertraging na de vaststelling van een inbreuk in verband met persoonsgegevens.

3.  De in lid 1 bedoelde melding bevat ten minste:

a)  een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords;

b)  de vermelding van de identiteit en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

c)  aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen;

d)  een omschrijving van de gevolgen van de inbreuk in verband met persoonsgegevens;

e)  een omschrijving van de maatregelen die de voor de verwerking verantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken en de gevolgen ervan te beperken.

De informatie kan zo nodig in fases worden verstrekt..

4.  De voor de verwerking verantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen. Deze documenten moeten afdoende zijn om de toezichthoudende autoriteit in staat stellen om de naleving van dit artikel en artikel 30 te controleren. De documenten omvatten uitsluitend de voor dat doel noodzakelijke informatie.

4 bis.  De toezichthoudende autoriteit houdt een openbaar register bij van alle soorten gemelde inbreuken.

5.  De Commissie is bevoegd Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten 66, lid 1, onder b), voor de vaststelling van de in de leden 1 en 2 bedoelde inbreuk in verband met persoonsgegevens alsmede van de onnodige vertraging als bedoeld in de leden 1 en 2, en voor de bijzondere omstandigheden waarin een voor de verwerking verantwoordelijke en een verwerker verplicht zijn de inbreuk in verband met persoonsgegevens te melden.

6.  De Commissie kan het model vaststellen voor deze melding aan de toezichthoudende autoriteit alsmede de op het meldingsvereiste toepasselijke procedures en de vorm en de modaliteiten van de in lid 4 bedoelde documenten, met inbegrip van de termijnen voor het wissen van de daarin opgenomen informatie. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 125]

Artikel 32

Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.  Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen voor de bescherming van de persoonsgegevens, of de privacy, de rechten of de gerechtvaardigde belangen van de betrokkene heeft, deelt de voor de verwerking verantwoordelijke na de in artikel 31 bedoelde melding, de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.

2.  De in lid 1 bedoelde mededeling aan de betrokkene is uitgebreid en geschreven in duidelijke, eenvoudige taal. Deze bevat een omschrijving van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 31, lid 3, onder b) en c) en d), voorgeschreven informatie en aanbevelingen en informatie over de rechten van de betrokkenen, met inbegrip van het recht op verhaal.

3.  De melding van een inbreuk in verband met persoonsgegevens aan de betrokkene is niet vereist wanneer de voor de verwerking verantwoordelijke tot voldoening van de toezichthoudende autoriteit aantoont dat hij de passende technische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de gegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft. Dergelijke technologische beschermingsmaatregelen maken de gegevens onbegrijpelijk voor eenieder die geen recht op toegang daartoe heeft.

4.  Onverminderd de verplichting van de voor de verwerking verantwoordelijke om de inbreuk in verband met persoonsgegevens aan de betrokkene te melden, kan de toezichthoudende autoriteit, na de waarschijnlijkheid van negatieve gevolgen van de inbreuk te hebben overwogen, de voor de verwerking verantwoordelijk gelasten de inbreuk in verband met persoonsgegevens aan de betrokkene te melden wanneer deze laatste dat nog niet heeft gedaan.

5.  De Commissie is bevoegd Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen 66, lid 1, onder b), met het oog op de nadere invulling van de criteria en de vereisten met betrekking tot de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen heeft voor de in lid 1 bedoelde persoonsgegevens, de privacy, de rechten of de gerechtvaardigde belangen van de betrokkene.

6.  De Commissie kan het model van de in lid 1 bedoelde melding aan de betrokkene en de op die melding toepasselijke procedure vaststellen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 126]

Artikel 32 bis

Risico-analyse

1.  De voor de verwerking verantwoordelijke, of in voorkomend geval de verwerker, voert een risicoanalyse uit van de mogelijke effecten van de bedoelde gegevensverwerking op de rechten en vrijheden van de betrokkenen, waarbij wordt beoordeeld of de verwerkingen waarschijnlijk specifieke risico's inhouden.

2.  De volgende verwerkingen kunnen specifieke risico's inhouden:

a)  de verwerking van persoonsgegevens van meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden;

b)  de verwerking van bijzondere categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1, locatiegegevens of gegevens over kinderen of werknemers in grote bestanden;

c)  profilering waarop maatregelen zijn gebaseerd waaraan voor die persoon rechtsgevolgen zijn verbonden of die hem op vergelijkbare, aanzienlijke wijze treffen;

d)  de verwerking van persoonsgegevens voor het bieden van gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen;

e)  geautomatiseerde bewaking van openbaar toegankelijke ruimten op grote schaal;

f)  andere verwerkingen waarvoor op grond van artikel 34, lid 2, onder b), de functionaris voor gegevensbescherming of de toezichthoudende autoriteit moet worden geraadpleegd;

g)  indien een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen heeft voor de bescherming van de persoonsgegevens, de privacy, de rechten of de gerechtvaardigde belangen van de betrokkene;

h)  een voor de verwerking verantwoordelijke of verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen;

i)  indien persoonsgegevens toegankelijk worden gemaakt voor een aantal personen waarvan redelijkerwijs niet kan worden aangenomen dat het een beperkt aantal is.

3.  In overeenstemming met de resultaten van de risicoanalyse:

a)  ingeval er sprake is van een van de verwerkingen zoals bedoeld in lid 2, onder a) of b), wijzen voor de verwerking verantwoordelijken die niet in de Unie zijn gevestigd een vertegenwoordiger in de Unie aan in overeenstemming met de vereisten en uitzonderingen zoals vastgelegd in artikel 25;

b)  ingeval er sprake is van een van de verwerkingen zoals bedoeld in lid 2, onder a), b) of h), wijst de voor de verwerking verantwoordelijke een functionaris voor gegevensbescherming aan in overeenstemming met de vereisten en uitzonderingen zoals vastgelegd in artikel 35;

c)  ingeval er sprake is van een van de verwerkingen zoals bedoeld in lid 2, onder a), b), c), d), e), f), g) of h), verricht de voor de verwerking verantwoordelijke of de verwerker die namens de voor de verwerking verantwoordelijke optreedt een privacyeffectbeoordeling overeenkomstig artikel 33;

d)  ingeval er sprake is van verwerkingen zoals bedoeld in lid 2, onder f), raadpleegt de voor de verwerking verantwoordelijke de functionaris voor gegevensbescherming of, indien er geen functionaris voor gegevensbescherming is aangewezen, de toezichthoudende autoriteit overeenkomstig artikel 34.

4.  De risicoanalyse wordt uiterlijk na een jaar ofwel onmiddellijk geëvalueerd, indien de aard, de omvang of de doeleinden van de gegevensverwerking aanzienlijk wijzigen. Wanneer de voor de verwerking verantwoordelijke overeenkomstig lid 3, onder c), niet verplicht is een privacyeffectbeoordeling te verrichten, wordt de risicoanalyse gedocumenteerd. [Am. 127]

AFDELING 3

PRIVACYEFFECTBEOORDELING EN VOORAFGAANDE TOESTEMMING BEHEER GEGEVENSBESCHERMING GEDURENDE LEVENSCYCLUS [Am. 128]

Artikel 33

Privacyeffectbeoordeling

1.  Wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van de betrokkenen, Indien vereist overeenkomstig artikel 32 bis, lid 3, onder c), voert de voor de verwerking verantwoordelijke of de verwerker die ten behoeve van namens de voor de verwerking verantwoordelijke optreedt een beoordeling uit van het effect van de beoogde verwerkingen op de rechten en vrijheden van de betrokkenen, met name hun recht op bescherming van persoonsgegevens. Een enkele beoordeling is voldoende in het geval van een reeks vergelijkbare verwerkingen die vergelijkbare risico's inhouden.

2.  Met name de volgende verwerkingen houden de in lid 1 bedoelde specifieke risico’s in:

a)  een systematische en uitgebreide beoordeling van aspecten van de persoonlijkheid van een natuurlijke persoon, bijvoorbeeld om met name zijn economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen, die is gebaseerd op geautomatiseerde verwerking en waarop maatregelen zijn gebaseerd waaraan voor die persoon rechtsgevolgen zijn verbonden of die hem in aanzienlijke mate treffen;

b)  de verwerking van gegevens over het seksuele leven, de gezondheid, het ras of de etnische afkomst, voor het bieden van gezondsheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen;

c)  de bewaking van openbaar toegankelijke ruimten, met name wanneer op grote schaal optisch-elektronische apparatuur (videobewaking) wordt gebruikt;

d)  de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens;

e)  andere verwerkingen waarvoor op grond van artikel 34, lid 2, onder b), de toezichthoudende autoriteit moet worden geraadpleegd.

3.  De beoordeling bevat minstens een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen, de maatregelen die worden beoogd om de risico’s te beperken, en de waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens verzekeren en aantonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen. heeft betrekking op de gehele levenscyclus van persoonsgegevens van vergaring via verwerking tot verwijdering. Deze bevat ten minste:

a)  een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking en, in voorkomend geval, de gerechtvaardigde belangen die worden nagestreefd door de voor de verwerking verantwoordelijke;

b)  een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot het doel;

c)  een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, met inbegrip van het risico van discriminatie dat inherent is aan de verwerking of daardoor wordt versterkt;

d)  een beschrijving van de beoogde maatregelen om de risico's te beperken en de hoeveelheid persoonsgegevens die worden verwerkt, te minimaliseren;

e)  een lijst waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen, zoals pseudonimisering, en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere betrokken personen;

f)  een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens moeten worden gewist;

g)  een uitleg over welke privacy by design en by default praktijken overeenkomstig artikel 23 zijn toegepast;

h)  een lijst van de ontvangers of categorieën ontvangers van de persoonsgegevens;

i)  indien van toepassing, een lijst van de voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie;

j)  een beoordeling van de context van de gegevensverwerking.

3 bis.  Indien de voor de verwerking verantwoordelijke of de verwerker een functionaris voor gegevensbescherming heeft aangewezen, wordt deze betrokken bij de uitvoering van de effectbeoordelingen.

3 ter.  De beoordeling wordt gedocumenteerd en bevat een schema ten behoeve van reguliere periodieke nalevingscontroles gegevensbescherming overeenkomstig artikel 33 bis, lid 1. De beoordeling wordt zonder onnodige vertraging bijgewerkt indien de resultaten van de in artikel 33 bis bedoelde nalevingscontroles gegevensbescherming inconsistenties in de naleving laten zien. De voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke, stellen de toezichthoudende autoriteit de beoordeling op verzoek ter beschikking.

4.  De voor de verwerking verantwoordelijke neemt de opmerkingen van betrokkenen en hun vertegenwoordigers over de voorgenomen verwerking in ontvangst, zonder inbreuk te maken op de bescherming van commerciële of algemene belangen of de beveiliging van de verwerkingen.

5.  Wanneer de voor de verwerking verantwoordelijke een overheidsinstantie of –orgaan is en de verwerking het gevolg is van een in de EU-wetgeving geregelde wettelijke verplichting in de zin van artikel 6, lid 1, onder c), waarbij voorschriften en procedures inzake de verwerkingen zijn vastgesteld, zijn de leden 1 tot en met 4 niet van toepassing, tenzij de lidstaten het nodig achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.

6.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor verwerkingen die waarschijnlijk de in de leden 1 en 2 bedoelde specifieke risico’s inhouden, en van de vereisten voor de in lid 3 bedoelde beoordeling, met inbegrip van de voorwaarden voor uitbreidbaarheid en interne en externe toetsing. Daarbij neemt de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging.

7.  De Commissie kan normen en procedures vaststellen voor de uitvoering en de interne en externe toetsing van de in lid 3 bedoelde beoordeling. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 129]

Artikel 33 bis

Nalevingscontrole gegevensbescherming

1.  De voor de verwerking verantwoordelijke of de verwerker die namens de voor de verwerking verantwoordelijke optreedt, voert uiterlijk twee jaar na uitvoering van een effectbeoordeling overeenkomstig artikel 33, lid 1, een nalevingscontrole gegevensbescherming uit. Uit deze nalevingscontrole gegevensbescherming moet blijken dat de verwerkte gegevens zijn verwerkt overeenkomstig de privacyeffectbeoordeling.

2.  De nalevingscontrole wordt periodiek, tenminste eens per twee jaar, uitgevoerd of anderszins onmiddellijk nadat de specifieke risico’s in verband met de verwerkingen zijn gewijzigd.

3.  Ingeval de nalevingscontrole inconsistenties in de naleving laat zien, worden er in de nalevingscontrole tevens aanbevelingen opgenomen om tot volledige naleving te kunnen komen.

4.  De nalevingscontrole en de daaruit voortvloeiende aanbevelingen worden gedocumenteerd. De voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke, stellen de toezichthoudende autoriteit de nalevingscontrole op verzoek ter beschikking.

5.  Indien de voor de verwerking verantwoordelijke of de verwerker een functionaris voor gegevensbescherming heeft aangewezen, wordt deze betrokken bij de uitvoering van de nalevingscontrole. [Am. 130]

Artikel 34

Voorafgaande toestemming en voorafgaande raadpleging

1.  De voor de verwerking verantwoordelijke en, in voorkomend geval, de verwerker verkrijgen voorafgaand aan de verwerking van persoonsgegevens toestemming van de toezichthoudende autoriteit om ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name om de risico’s voor de betrokkenen te beperken wanneer een voor de verwerking verantwoordelijke of een verwerker contractbepalingen vaststelt uit hoofde van artikel 42, lid 2, onder d), of niet in een juridisch bindend instrument passende garanties voor de bescherming van persoonsgegevens biedt als bedoeld in artikel 42, lid 5, voor de doorgifte van persoonsgegevens naar een derde land of een internationale organisatie.

2.  De voor de verwerking verantwoordelijke of de verwerker die ten behoeve van namens de voor de verwerking verantwoordelijke optreedt, raadpleegt de functionaris voor gegevensbescherming of, indien er geen functionaris voor gegevensbescherming is aangewezen, de toezichthoudende autoriteit voorafgaand aan de verwerking van de persoonsgegevens om ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name om de risico’s voor de betrokkenen te beperken wanneer:

a)  een privacyeffectbeoordeling als bedoeld in artikel 33 aangeeft dat verwerkingen vanwege hun aard, hun omvang of hun doel waarschijnlijk grote specifieke risico’s met zich brengen; of

b)  de functionaris voor gegevensbescherming of de toezichthoudende autoriteit het nodig acht om vooraf tot raadpleging over te gaan over verwerkingen die naar hun aard, hun omvang en/of hun doel waarschijnlijk specifieke risico’s voor de rechten en vrijheden van betrokkenen met zich brengen en die overeenkomstig lid 4 zijn gespecificeerd.

3.  Wanneer de bevoegde toezichthoudende autoriteit uit hoofde van mening is haar bevoegdheid bepaalt dat de voorgenomen verwerking niet aan deze verordening voldoet, met name wanneer de risico’s onvoldoende zijn vastgesteld of beperkt, verbiedt zij de voorgenomen verwerking en doet zij passende voorstellen om alsnog aan deze verordening te voldoen.

4.  De toezichthoudende autoriteit Het Europees Comité voor gegevensbescherming stelt een lijst op van verwerkingen waarover uit hoofde van lid 2, onder b), voorafgaande raadpleging moet plaatsvinden en publiceert deze. De toezichthoudende autoriteit deelt deze lijsten mee aan het Europees Comité voor gegevensbescherming.

5.  Wanneer de in lid 4 bedoelde lijst betrekking heeft op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen in verschillende lidstaten, of op het observeren van hun gedrag, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de toezichthoudende autoriteit voorafgaand aan de vaststelling van de lijst de in artikel 57 bedoelde conformiteitstoetsing toe.

6.  De voor de verwerking verantwoordelijke of de verwerker verstrekt de toezichthoudende autoriteit op verzoek de in privacyeffectbeoordeling overeenkomstig artikel 33 bedoelde privacyeffectbeoordeling en, op verzoek, alle andere informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico’s voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

7.  De lidstaten raadplegen de toezichthoudende autoriteit bij de voorbereiding van een door het nationale parlement vast te stellen wettelijke maatregel of een op een dergelijke wettelijke maatregel gebaseerde maatregel die de aard van de verwerking bepaalt, teneinde ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name de betrokken risico’s voor de betrokkenen te beperken.

8.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor het bepalen van de in lid 2, onder a), bedoelde grote specifieke risico’s.

9.  De Commissie kan standaardformulieren en –procedures vaststellen voor de in de leden 1 en 2 bedoelde voorafgaande goedkeuring en raadpleging en standaardformulieren en –procedures voor het verstrekken van informatie aan de toezichthoudende autoriteiten overeenkomstig lid 6. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 131]

AFDELING 4

FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 35

Aanwijzing van de functionaris voor gegevensbescherming

1.  De voor de verwerking verantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

a)  de verwerking wordt uitgevoerd door een overheidsinstantie of –orgaan; of

b)  de verwerking wordt uitgevoerd door een onderneming met minimaal 250 werknemers rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden; of

c)  een voor de verwerking verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen; of

d)  de kernactiviteiten van de voor de verwerking verantwoordelijke of de verwerker bestaan uit de verwerking van bijzondere categorieën gegevens ingevolge artikel 9, lid 1, gegevens over de verblijfplaats of gegevens over kinderen of werknemers in grote bestanden.

2.  In het in lid 1, onder b), bedoelde geval kan Een groep van ondernemingen één kan een primair verantwoordelijke functionaris voor gegevensbescherming benoemen, mits gegarandeerd is dat elke vestiging gemakkelijk toegang heeft tot de functionaris voor gegevensbescherming.

3.  Wanneer de voor de verwerking verantwoordelijke of de verwerker een overheidsinstantie of –orgaan is, kan de functionaris voor gegevensbescherming voor verschillende entiteiten van die instantie of dat orgaan worden aangewezen, met inachtneming van de organisatiestructuur van de overheidsinstantie of het overheidsorgaan.

4.  In andere dan de in lid 1 bedoelde gevallen kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere organen die categorieën voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen.

5.  De functionaris voor gegevensbescherming wordt door de voor de verwerking verantwoordelijke of de verwerker aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 37 bedoelde taken te vervullen. Het vereiste niveau van deskundigheid wordt met name bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door de voor de verwerking verantwoordelijke of de verwerker verwerkte gegevens vereist is.

6.  De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat alle andere beroepswerkzaamheden van de functionaris voor gegevensbescherming verenigbaar zijn met zijn taken en verplichtingen als functionaris voor gegevensbescherming en niet tot een belangenconflict leiden.

7.  De voor de verwerking verantwoordelijke of de verwerker wijst een functionaris voor gegevensbescherming aan voor een periode van tenminste ten minste vier jaar in het geval van een werknemer of twee jaar in het geval van een externe dienstencontractant. De functionaris voor gegevensbescherming kan worden herbenoemd. Tijdens zijn of haar ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij of zij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn of haar taken.

8.  De functionaris voor gegevensbescherming kan in dienst zijn van de voor de verwerking verantwoordelijke of de verwerker dan wel zijn taken op grond van een dienstverleningscontract verrichten.

9.  De voor de verwerking verantwoordelijke of de verwerker deelt de toezichthoudende autoriteit en het publiek de naam en de contactgegevens van de functionaris voor gegevensbescherming mee.

10.  Betrokkenen hebben het recht om met de functionaris voor gegevensbescherming contact op te nemen over alle aangelegenheden die verband houden met de verwerking van de gegevens van de betrokkene en om te verzoeken om de uitoefening van de rechten uit hoofde van deze verordening.

11.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1, onder c), bedoelde hoofdactiviteiten van de voor de verwerking verantwoordelijke of de verwerker en van de criteria voor de in lid 5 bedoelde professionele kwaliteiten van de functionaris voor gegevensbescherming. [Am. 132]

Artikel 36

Positie van de functionaris voor gegevensbescherming

1.  De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

2.  De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming zijn plichten en taken onafhankelijk vervult en geen instructies ontvangt met betrekking tot de uitoefening van de functie. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de dagelijkse leiding van de voor de verwerking verantwoordelijke of de verwerker. De voor de verwerking verantwoordelijke of de verwerker wijst hiertoe een lid van de dagelijkse leiding aan als verantwoordelijke voor de naleving van de bepalingen van deze verordening.

3.  De voor de verwerking verantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van zijn taken en zorgen voor alle middelen, met inbegrip van personeel, kantoren, uitrusting en alle andere middelen die nodig zijn voor de vervulling van de in artikel 37 bedoelde plichten en taken en om zijn of haar vakkennis op peil te houden.

4.  Functionarissen voor gegevensbescherming zijn gebonden tot geheimhouding wat betreft de identiteit van de betrokkenen en de omstandigheden aan de hand waarvan de betrokkenen geïdentificeerd kunnen worden, tenzij ze door de betrokkene van die verplichting zijn ontheven. [Am. 133]

Artikel 37

Taken van de functionaris voor gegevensbescherming

De voor de verwerking verantwoordelijke en de verwerker dragen de functionaris voor gegevensbescherming ten minste de volgende taken op:

a)  bewust maken, het informeren en adviseren van de voor de verwerking verantwoordelijke en de verwerker over hun verplichtingen op grond van deze verordening, met name wat betreft technische en organisatorische maatregelen en procedures, en het documenteren van deze activiteit en de ontvangen antwoorden;

b)  het toezien op de uitvoering en toepassing van het beleid van de voor de verwerking verantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

c)  het toezien op de uitvoering en de toepassing van deze verordening, met name met betrekking tot de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten uit hoofde van deze verordening;

d)  ervoor zorgen dat de in artikel 28 bedoelde documenten worden bewaard;

e)  het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens overeenkomstig de artikelen 31 en 32;

f)  het toezien op de uitvoering van de privacyeffectbeoordeling door de voor de verwerking verantwoordelijke of de verwerker en op het verzoek om voorafgaande toestemming of raadpleging, voor zover daartoe op grond van de artikelen 32 bis, 33 en 34 een verplichting bestaat;

g)  het toezien op het gevolg dat aan verzoeken van de toezichthoudende autoriteit is gegeven en het, binnen de grenzen van de bevoegdheid van de functionaris voor gegevensbescherming, verlenen van medewerking aan de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de functionaris voor gegevensbescherming;

h)  het optreden als contactpunt voor de toezichthoudende autoriteit inzake aangelegenheden in verband met de verwerking en het op zijn of haar eigen initiatief in voorkomend geval raadplegen van de toezichthoudende autoriteit;

i)  het controleren van de naleving van deze verordening van het in artikel 34 neergelegde raadplegingsmechanisme;

j)  het informeren van de werknemersvertegenwoordigers over de verwerking van gegevens van de werknemers.

2.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de taken, certificering, positie, bevoegdheden en middelen van de lid 1 genoemde functionaris voor gegevensbescherming. [Am. 134]

AFDELING 5

GEDRAGSCODES EN CERTIFICERING

Artikel 38

Gedragscodes

1.  De lidstaten, de toezichthoudende autoriteiten en de Commissie bevorderen de opstelling van gedragscodes of de goedkeuring van door toezichthoudende autoriteiten opgestelde gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren, moeten bijdragen tot de juiste toepassing van deze verordening en met name met betrekking tot:

a)  eerlijke en transparante gegevensverwerking;

a bis)  de eerbiediging van de consumentenrechten;

b)  de verzameling van gegevens;

c)  het informeren van het publiek en de betrokkenen:

d)  verzoeken van betrokkenen in het kader van de uitoefening van hun rechten;

e)  het informeren en de bescherming van kinderen;

f)  doorgifte van gegevens naar derde landen of naar internationale organisaties;

g)  mechanismen voor het toezicht op en de verzekering van de naleving van de code door de voor de verwerking verantwoordelijken die deze hebben onderschreven;

h)  buitengerechtelijke procedures en andere procedures voor geschillenbeslechting tussen voor de verwerking verantwoordelijken en betrokkenen met betrekking tot de verwerking van persoonsgegevens, onverminderd de rechten van de betrokkenen op grond van de artikelen 73 en 75.

2.  Verenigingen en andere organen die in een lidstaat categorieën voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen en die het voornemen hebben om een gedragscode op te stellen of bestaande gedragscodes te wijzigen of uit te breiden, kunnen deze voor advies aan de toezichthoudende autoriteit in die lidstaat voorleggen. De toezichthoudende autoriteit kan brengt onverwijld een advies uitbrengen uit over de verenigbaarheid van de verwerking in het kader van de ontwerpgedragscode of de wijziging daarvan met deze verordening. De toezichthoudende autoriteit neemt de opmerkingen van de betrokkenen of hun vertegenwoordigers over deze ontwerpen in ontvangst.

3.  Verenigingen en andere organen die categorieën voor de verwerking verantwoordelijken of verwerkers in verschillende lidstaten vertegenwoordigen, kunnen ontwerpgedragscodes en wijzigingen of uitbreidingen van bestaande gedragscodes aan de Commissie voorleggen.

4.  De Commissie kan uitvoeringshandelingen vaststellen is bevoegd om, na raadpleging van het Europees Comité voor gegevensbescherming, overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen waarbij gedragscodes en wijzigingen of uitbreidingen van bestaande gedragscodes die haar op grond van lid 3 zijn voorgelegd, in overeenstemming met deze verordening en algemeen geldig worden verklaard binnen de Unie. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Die gedelegeerde handelingen kennen de betrokkenen afdwingbare rechten toe.

5.  De Commissie zorgt ervoor dat aan de codes die zij overeenkomstig lid 4 algemeen geldig heeft verklaard, passende bekendheid wordt gegeven. [Am. 135]

Artikel 39

Certificering

1.  De lidstaten en de Commissie bevorderen, met name op Europees niveau, de vaststelling van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en –merktekens, zodat betrokkenen snel het door de voor de verwerking verantwoordelijken en verwerkers geboden niveau van gegevensbescherming kunnen beoordelen. De certificeringsmechanismen voor gegevensbescherming dragen bij tot de juiste toepassing van deze verordening, met inachtneming van de specifieke kenmerken van de verschillende sectoren en verwerkingen.

1 bis.  Iedere voor de verwerking verantwoordelijke of verwerker kan iedere toezichthoudende autoriteit in de Unie voor een redelijke vergoeding -waarbij de administratieve kosten in aanmerking worden genomen- verzoeken om te certificeren dat de verwerking van persoonsgegevens wordt uitgevoerd in overeenstemming met deze verordening, met name met de beginselen zoals uiteengezet in de artikelen 5, 23 en 30, de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker, en de rechten van de betrokkene.

1 ter De certificering is vrijwillig, betaalbaar en toegankelijk via een transparant en niet onnodig zwaar proces.

1 quater.  De toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming werken samen in het kader van de conformiteitstoetsing overeenkomstig artikel 57 teneinde te zorgen voor een geharmoniseerd certificeringsmechanisme voor gegevensbescherming met inbegrip van geharmoniseerde vergoedingen binnen de Unie.

1 quinquies.  Gedurende de certificeringsprocedure kunnen de toezichthoudende autoriteiten gespecialiseerde auditors van derde partijen accrediteren om in haar naam de voor de verwerking verantwoordelijke of verwerker te controleren. Auditors van derde partijen beschikken over voldoende gekwalificeerd personeel, zijn onpartijdig en vrij van belangenconflicten met betrekking tot hun taken. De toezichthoudende autoriteiten trekken de accreditatie in als er redenen zijn om aan te nemen dat de auditor zijn taken niet naar behoren vervult. De definitieve certificering wordt verstrekt door de toezichthoudende autoriteit.

1 sexies.  De toezichthoudende autoriteiten verlenen de voor de verwerking verantwoordelijken en verwerkers, waarvan op grond van de controle is vastgesteld dat ze persoonsgegevens verwerken in overeenstemming met deze verordening, het gestandaardiseerde gegevensbeschermingszegel met de titel "Europees gegevensbeschermingszegel".

1 septies.  Het "Europees gegevensbeschermingszegel" blijft geldig zolang de gegevensverwerkingen van de gecertificeerde voor de verwerking verantwoordelijke of verwerker volledig blijven voldoen aan onderhavige verordening.

1 octies Onverminderd lid 1 septies blijft de certificering maximaal vijf jaar geldig.

1 nonies.  Het Europees Comité voor gegevensbescherming stelt een openbaar elektronisch register vast waarin alle geldige en ongeldige certificaten die in de lidstaten zijn verstrekt door alle burgers kunnen worden geraadpleegd.

1 decies.  Het Europees Comité voor gegevensbescherming kan op eigen initiatief certificeren dat een technische norm ter versterking van de gegevensbescherming in overeenstemming is met deze verordening.

2.  De Commissie is bevoegd overeenkomstig artikel 86, na raadpleging van het Europees Comité voor gegevensbescherming en na overleg met belanghebbenden, met name vakorganisaties en niet-gouvernementele organisaties, gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1 bis tot en met 1 nonies bedoelde certificeringsmechanismen voor gegevensbescherming, met inbegrip van de vereisten voor de accreditatie van auditors, de voorwaarden voor toekenning en intrekking, en van de vereisten voor erkenning binnen de Unie en in derde landen. Die gedelegeerde handelingen kennen de betrokkenen afdwingbare rechten toe.

3.  De Commissie kan technische normen vaststellen voor certificeringsmechanismen en gegevensbeschermingszegels en –merktekens en mechanismen ter bevordering en erkenning van certificeringsmechanismen en gegevensbeschermingszegels en –merktekens. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 136]

HOOFDSTUK V

DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 40

Algemeen beginsel inzake doorgiften

Persoonsgegevens die aan verwerking worden onderworpen of die bestemd zijn om na doorgifte naar een derde land of naar een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de naleving van de andere bepalingen van deze verordening, de voor de verwerking verantwoordelijke en de verwerker de in dit hoofdstuk neergelegde voorwaarden hebben nageleefd; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of de internationale organisatie naar een ander derde land of een andere internationale organisatie.

Artikel 41

Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard

1.  Een doorgifte kan plaatsvinden wanneer de Commissie heeft besloten dat het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen verdere specifieke toestemming nodig.

2.  Bij de beoordeling van de vraag of er een passend beschermingsniveau is, houdt de Commissie rekening met de volgende aspecten:

a)  de rechtsstaat, de relevante geldende algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht, alsmede de tenuitvoerlegging van deze wetgeving, de beroepscodes en de veiligheidsmaatregelen die in het betrokken derde land of de betrokken internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsook het bestaan van effectieve en afdwingbare rechten, waaronder effectieve mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven;

b)  het bestaan en de effectieve werking van een of meer onafhankelijke toezichthoudende autoriteiten in het betrokken land of de betrokken internationale organisatie, die belast zijn met het toezicht op de naleving van de gegevensbeschermingsregels, waaronder toereikende sanctiebevoegdheden, het bijstaan en het adviseren van betrokkenen bij de uitoefening van hun rechten en de samenwerking met de toezichthoudende autoriteiten van de Unie en de lidstaten; en

c)  de internationale verbintenissen die het betrokken derde land of de betrokken internationale organisatie is aangegaan, met name juridisch bindende conventies of instrumenten met betrekking tot de bescherming van persoonsgegevens.

3.  De Commissie kan bij besluit vaststellen is bevoegd om overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen om te besluiten dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 waarborgt. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Dergelijke gedelegeerde handelingen voorzien in een sunset-clause indien ze betrekking hebben op een verwerkingssector en worden ingetrokken overeenkomstig lid 5 wanneer niet langer kan worden gezorgd voor een passend beschermingsniveau overeenkomstig deze verordening.

4.  In de uitvoeringshandeling gedelegeerde handeling worden het geografische territoriale en het sectorale toepassingsgebied vastgelegd en wordt, in voorkomend geval, de in lid 2, onder b), genoemde toezichthoudende autoriteit vermeld.

4 bis.  De Commissie houdt voortdurend toezicht op de ontwikkelingen in derde landen en binnen internationale organisaties die van invloed kunnen zijn op de elementen in lid 2 waartoe krachtens lid 3 een gedelegeerde handeling is vastgesteld.

5.  De Commissie kan bij besluit vaststellen is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen om te besluiten dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt of niet meer waarborgt in de zin van lid 2 waarborgt, met name in de gevallen waarin de relevante algemene en sectorale wetgeving die in het betrokken derde land of de betrokken internationale organisatie geldt, geen effectieve en afdwingbare rechten waarborgt, waaronder mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden voor het recht van natuurlijke personen op bescherming van hun persoonsgegevens, volgens de in artikel 87, lid 3, bedoelde procedure.

6.  Wanneer de Commissie overeenkomstig lid 5 een besluit vaststelt, worden alle doorgiften van persoonsgegevens naar het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie verboden, onverminderd de artikelen 42 tot en met 44. De Commissie pleegt te gepasten tijde overleg met het derde land of de internationale organisatie ter verhelping van de situatie die voortvloeit uit het besluit dat overeenkomstig lid 5 is vastgesteld.

6 bis.  Alvorens overeenkomstig de leden 3 en 5 een gedelegeerde handeling vast te stellen, vraagt de Commissie het Europees Comité voor gegevensbescherming om advies over de toereikendheid van het beschermingsniveau. Daartoe verstrekt de Commissie het Europees Comité voor gegevensbescherming alle nodige documentatie, met inbegrip van correspondentie met de overheid van een derde land, gebied of verwerkingssector binnen dat derde land of de internationale organisatie.

7.  De Commissie maakt in het Publicatieblad van de Europese Unie en op haar website een lijst bekend van de derde landen, gebieden en verwerkingssectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld of er al dan niet een passend beschermingsniveau gewaarborgd is.

8.  De besluiten die de Commissie op grond van artikel 25, lid 6, of artikel 26, lid 4, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht, totdat zij tot vijf jaar na de inwerkingtreding van onderhavige verordening, tenzij deze door de Commissie vóór het einde van deze periode worden gewijzigd, vervangen of ingetrokken. [Am. 137]

Artikel 42

Doorgiften op basis van passende garanties

1.  Wanneer de Commissie geen besluit overeenkomstig artikel 41 heeft vastgesteld, of indien zij bij besluit vaststelt dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau in de zin van artikel 41, lid 5, waarborgt, kan een voor de verwerking verantwoordelijke of een verwerker geen persoonsgegevens naar een derde land of een internationale organisatie doorgeven met doorgifte op internationale grondslag, tenzij indien hij in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens biedt.

2.  De in lid 1 bedoelde passende garanties zijn met name:

a)  bindende bedrijfsvoorschriften overeenkomstig artikel 43; of

a bis)  een geldig "Europees gegevensbeschermingszegel" voor de voor de verwerking verantwoordelijke en de ontvanger in overeenstemming met lid 1 sexies van artikel 39; of

b)  modelbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure; of

c)  modelbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld in het kader van de in artikel 57 bedoelde conformiteitstoetsing, wanneer die door de Commissie overeenkomstig artikel 62, lid 1, onder b), algemeen geldig zijn verklaard; of

d)  contractuele bepalingen tussen de voor de verwerking verantwoordelijke of de verwerker en de ontvanger van de gegevens, die door een toezichthoudende autoriteit overeenkomstig lid 4 zijn goedgekeurd.

3.  Voor een doorgifte op basis van modelbepalingen inzake gegevensbescherming, een "Europees gegevensbeschermingszegel" of bindende bedrijfsvoorschriften als bedoeld in lid 2, onder a), ba bis) of c), is geen verdere specifieke toestemming nodig.

4.  Voor een doorgifte op basis van contractuele bepalingen als bedoeld in lid 2, onder d), verkrijgt de voor de verwerking verantwoordelijke of de verwerker overeenkomstig artikel 34, lid 1, onder a), voorafgaande toestemming van de contractuele bepalingen van de toezichthoudende autoriteit. Indien de doorgifte verband houdt met verwerkingen die betrekking hebben op betrokkenen in een andere lidstaat of andere lidstaten of een inbreuk maken op het vrije verkeer van persoonsgegevens binnen de Unie, verricht de toezichthoudende autoriteit de in artikel 57 bedoelde conformiteitstoetsing.

5.  Wanner er geen passende garanties in verband met de bescherming van persoonsgegevens in een juridisch bindend instrument worden geboden, verkrijgt de voor de verwerking verantwoordelijke of de verwerker voorafgaande toestemming voor de doorgifte, voor een categorie doorgiften of voor bepalingen die moeten worden opgenomen in de administratieve regelingen die de basis voor een dergelijke doorgifte vormen. Die toestemming van de toezichthoudende autoriteit moet met artikel 34, lid 1, in overeenstemming zijn. Indien de doorgifte verband houdt met verwerkingen die betrekking hebben op betrokkenen in een andere lidstaat of andere lidstaten of een inbreuk maken op het vrije verkeer van persoonsgegevens binnen de Unie, verricht de toezichthoudende autoriteit de in artikel 57 bedoelde conformiteitstoetsing. Toestemmingen die een toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG heeft verleend, blijven geldig totdat zij tot twee jaar na de inwerkingtreding van deze verordening, tenzij deze door die toezichthoudende autoriteit vóór het einde van deze periode worden gewijzigd, vervangen of ingetrokken. [Am. 138]

Artikel 43

Doorgiften op grond van bindende bedrijfsvoorschriften

1.  Een De toezichthoudende autoriteit keurt in het kader van de in artikel 58 bedoelde conformiteitstoetsing bindende bedrijfsvoorschriften goed, op voorwaarde dat deze:

a)  juridisch bindend zijn voor en van toepassing zijn op alle leden van de groep van ondernemingen van de voor de verwerking verantwoordelijke of de verwerker en van de externe onderaannemers die onder de bindende bedrijfsvoorschriften vallen, met inbegrip van hun werknemers, en dat deze leden op de naleving ervan toezien;

b)  betrokkenen uitdrukkelijk afdwingbare rechten toekennen;

c)  voldoen aan de in lid 2 vastgestelde vereisten.

1 bis.  Voor wat werkgelegenheidsgegevens betreft, worden de vertegenwoordigers van de werknemers in kennis gesteld van en, overeenkomstig het recht van de Unie of het recht van de lidstaten en praktijken, betrokken bij de opstelling van bindende bedrijfsvoorschriften overeenkomstig artikel 43.

2.  In de bindende bedrijfsvoorschriften worden minimaal de volgende elementen vastgelegd:

a)  de structuur en de contactgegevens van de groep van ondernemingen en haar leden en de externe onderaannemers die onder de bindende bedrijfsvoorschriften vallen;

b)  de gegevensdoorgiften of categorie doorgiften, met inbegrip van de categorieën persoonsgegevens, het soort verwerking en de doeleinden daarvan, het soort betrokkenen en de naam van het betrokken derde land of de betrokken derde landen;

c)  het intern en extern juridisch bindende karakter;

d)  de algemene beginselen inzake gegevensbescherming, namelijk de doelbinding, minimale gegevensverwerking, de beperkte bewaartermijn, de kwaliteit van de gegevens, gegevensbescherming by design en by default en de rechtsgrondslag voor verwerking, de verwerking van gevoelige persoonsgegevens, de maatregelen om de beveiliging van de gegevens te waarborgen en de vereisten die worden gesteld bij verdere doorgiften aan organisaties die niet door de bedrijfsvoorschriften zijn gebonden;

e)  de rechten van betrokkenen en de middelen om deze rechten uit te oefenen, waaronder het recht niet te worden onderworpen aan een maatregel op basis van profilering overeenkomstig artikel 20, het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit of een vordering in te stellen bij de bevoegde gerechtelijke instanties van de lidstaten overeenkomstig artikel 75, en, in voorkomend geval, een vergoeding te ontvangen voor een inbreuk op de bindende bedrijfsvoorschriften;

f)  de aanvaarding door een in een lidstaat gevestigde voor de verwerking verantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd lid van de groep van ondernemingen; de voor de verwerking verantwoordelijke of de verwerker kan alleen geheel of gedeeltelijk van deze aansprakelijkheid worden ontheven, indien hij bewijst dat de schade niet aan dat lid kan worden toegerekend;

g)  de wijze waarop betrokkenen overeenkomstig artikel 11 informatie wordt verschaft over de bindende bedrijfsvoorschriften, met name de onder d), e) en f) bedoelde bepalingen;

h)  de taken van de overeenkomstig artikel 35 aangewezen functionaris voor gegevensbescherming, waaronder het toezicht op de naleving van de bindende bedrijfsvoorschriften binnen de groep van ondernemingen, op de opleiding en op de behandeling van klachten;

i)  de binnen de groep van ondernemingen bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;

j)  de procedures om veranderingen in het beleid te melden en te registreren en die verandering bij de toezichthoudende autoriteit aan te melden;

k)  de procedure voor samenwerking met de toezichthoudende autoriteit om ervoor te zorgen dat alle leden van de groep van ondernemingen de bindende bedrijfsvoorschriften naleven, onder meer door de resultaten van de onder i) bedoelde controles aan de toezichthoudende autoriteit mee te delen.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van het formaat, de procedures, criteria en de vereisten voor bindende bedrijfsvoorschriften in de zin van dit artikel, waaronder de criteria voor hun goedkeuring , waaronder transparantie ten behoeve van betrokkenen en de toepassing van lid 2, onder b), d), e) en f), op de bindende bedrijfsvoorschriften van verwerkers, en de andere vereisten die nodig zijn om de bescherming van de persoonsgegevens van de betrokkenen te waarborgen.

4.  De Commissie kan het model en de procedures voor de elektronische uitwisseling van informatie over bindende bedrijfsvoorschriften in de zin van dit artikel tussen voor de verwerking verantwoordelijken, verwerkers en toezichthoudende autoriteiten nader vastleggen. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 139]

Artikel 43 bis

Niet door het recht van de Unie toegestane doorgiften of verstrekkingen

1.  Uitspraken van rechters en besluiten van bestuurlijke autoriteiten in derde landen die een voor de verwerking verantwoordelijke of een verwerker gelasten persoonsgegevens vrij te geven, worden op geen enkele wijze erkend en zijn op geen enkele wijze afdwingbaar, tenzij er een verdrag inzake wederzijdse juridische bijstand of een internationale overeenkomst tussen het verzoekende derde land en de EU of een lidstaat bestaat.

2.  Wanneer een vonnis van een rechtbank of gerechtshof of een beslissing van een bestuursinstantie van een derde land een voor de verwerking verantwoordelijke of een verwerker verzoekt om persoonsgegevens mee te delen, brengt de voor de verwerking verantwoordelijke, en indien van toepassing zijn vertegenwoordiger, of de verwerker de toezichthoudende autoriteit onmiddellijk op de hoogte van het verzoek en vraagt hij de toezichthoudende autoriteit om toestemming voor de doorgifte of verstrekking.

3.  De toezichthoudende autoriteit beoordeelt of de verzochte verstrekking wel overeenstemt met deze verordening en in het bijzonder of de verstrekking wel overeenkomstig letter d) en e) van artikel 44, lid 1, en artikel 44, lid 5, nodig is en wettelijk vereist. Wanneer betrokkenen afkomstig uit andere lidstaten ook gevolgen ondervinden, past de toezichthoudende autoriteit de in artikel 57 bedoelde conformiteitstoetsing toe.

4.  De toezichthoudende autoriteit brengt de bevoegde nationale autoriteit op de hoogte van het verzoek. Onverminderd artikel 21 brengt de voor de verwerking verantwoordelijke of verwerker tevens de betrokkenen op de hoogte van het verzoek en van de toestemming van de toezichthoudende autoriteit en deelt de betrokkene in voorkomend geval mede of er gedurende de afgelopen achtereenvolgende periode van 12 maanden persoonsgegevens zijn verstrekt aan overheidsinstanties, overeenkomstig artikel 14, lid 1, onder h bis). [Am. 140]

Artikel 44

Afwijkingen

1.  Bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard overeenkomstig artikel 41 of passende garanties overeenkomstig artikel 42, kan een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land of een internationale organisatie slechts plaatsvinden op voorwaarde dat:

a)  de betrokkene met de voorgestelde doorgifte heeft ingestemd, na over de risico’s van dergelijke doorgiften bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard en passende garanties te zijn geïnformeerd; of

b)  de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; of

c)  de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een andere natuurlijke of rechtspersoon gesloten overeenkomst; of

d)  de doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang; of

e)  de doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of

f)  de doorgifte noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere persoon, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of

g)  de doorgifte geschiedt vanuit een openbaar register dat krachtens het recht van de Unie of het recht van de lidstaat bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de voorwaarden van het recht van de Unie of het recht van de lidstaat voor raadpleging; of

h)  de doorgifte noodzakelijk is voor de gerechtvaardigde belangen die door de voor de verwerking verantwoordelijke of de verwerker worden nagestreefd, en niet als frequent of massaal kan worden beschouwd, en de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de gegevensdoorgifte of de categorie gegevensdoorgiften heeft beoordeeld en, indien nodig, op basis van die beoordeling passende garanties biedt voor de bescherming van de persoonsgegevens.

2.  Een doorgifte overeenkomstig lid 1, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën persoonsgegevens die in het register zijn opgeslagen. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer de gegevens voor hen zijn bestemd.

3.  Bij verwerking overeenkomstig lid 1, onder h), besteedt de voor de verwerking verantwoordelijke of de verwerker bijzondere aandacht aan de aard van de gegevens, het doel en de duur van de voorgestelde verwerking of verwerkingen, alsook aan de situatie in het land van herkomst, het derde land en het land van de uiteindelijke bestemming en, indien nodig, aan de geboden passende garanties in verband met de bescherming van persoonsgegevens.

4.  Lid 1, onder b) en c) en h), is niet van toepassing op activiteiten die worden verricht door autoriteiten in de uitoefening van het overheidsgezag.

5.  Het in lid 1, onder d), bedoelde openbaar belang moet erkend zijn in het recht van de Unie of het recht van de lidstaat waaronder de voor de verwerking verantwoordelijke ressorteert.

6.  De voor de verwerking verantwoordelijke of de verwerker staaft de beoordeling en de in lid 1, onder h), bedoelde passende garanties met bewijsstukken door middel van de in artikel 28 bedoelde documenten en stelt de toezichthoudende autoriteit in kennis van de doorgifte.

7.  De Commissie is bevoegd Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen artikel 66, lid 1, onder b), met het oog op de nadere invulling van het begrip “gewichtige redenen van algemeen belang” in de zin van lid 1, onder d), en de criteria en de vereisten voor de in doorgiften van gegevens op basis van lid 1, onder h), bedoelde passende garanties. [Am. 141]

Artikel 45

Internationale samenwerking voor de bescherming van persoonsgegevens

1.  In verband met derde landen en internationale organisaties nemen de Commissie en de toezichthoudende autoriteiten de nodige maatregelen om:

a)  procedures voor effectieve internationale samenwerking te ontwikkelen, zodat de handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt gewaarborgd; [Am. 142]

b)  internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover passende garanties voor de bescherming van persoonsgegevens en andere grondrechten en grondvrijheden bestaan;

c)  belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking in de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen;

d)  de uitwisseling en het documenteren van de wetgeving en de praktijken inzake de bescherming van persoonsgegevens te bevorderen.

d bis)  opheldering te verschaffen en overleg te plegen over geschillen met derde landen inzake jurisdictie. [Am. 143]

2.  Met het oog op de toepassing van lid 1 neemt de Commissie de nodige maatregelen om de betrekkingen met derde landen of internationale organisaties, en met name hun toezichthoudende autoriteiten, te bevorderen, wanneer zij overeenkomstig artikel 41, lid 3, bij besluit heeft vastgesteld dat zij een passend beschermingsniveau waarborgen.

Artikel 45 bis

Verslag van de Commissie

De Commissie dient regelmatig, en niet later dan vanaf vier jaar na de in artikel 91, lid 1, genoemde datum, bij het Europees Parlement en de Raad een verslag in over de toepassing van artikelen 40 tot en met 45. Voor dit doel kan de Commissie de lidstaten en de toezichthoudende autoriteiten om gegevens verzoeken, die onverwijld moeten worden toegezonden. Het verslag wordt openbaar gemaakt. [Am. 144]

HOOFDSTUK VI

ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN

AFDELING 1

ONAFHANKELIJKHEID

Artikel 46

Toezichthoudende autoriteit

1.  Elke lidstaat zorgt ervoor dat één of meer overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening en een bijdrage leveren aan de uniforme toepassing ervan in de hele Unie, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. Daartoe werken de toezichthoudende autoriteiten samen met elkaar en met de Commissie.

2.  Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan het Europees Comité voor gegevensbescherming en stelt hij de procedure vast om ervoor te zorgen dat de andere autoriteiten de regels in verband met de in artikel 57 bedoelde conformiteitstoetsing naleven.

3.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig dit hoofdstuk vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 47

Onafhankelijkheid

1.  De toezichthoudende autoriteit treedt bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk en onpartijdig op, onverminderd de bepalingen van hoofdstuk VII van deze verordening inzake samenwerking en conformiteit. [Am. 145]

2.  Bij de uitvoering van hun taken vragen noch aanvaarden de leden van de toezichthoudende autoriteit instructies van wie dan ook.

3.  De leden van de toezichthoudende autoriteit onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen andere al dan niet bezoldigde beroepswerkzaamheden.

4.  Na beëindiging van hun ambtstermijn betrachten de leden van de toezichthoudende autoriteit bij het aanvaarden van functies en voordelen eerlijkheid en kiesheid.

5.  Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteit kan beschikken over passende menselijke, technische en financiële middelen, en de huisvesting en infrastructuur die nodig zijn om haar taken en bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Europees Comité voor gegevensbescherming, effectief uit te voeren en uit te oefenen.

6.  Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteit haar eigen personeelsleden heeft, die door het hoofd van de toezichthoudende autoriteit worden benoemd en onder zijn leiding staan.

7.  De lidstaten zorgen ervoor dat het financieel toezicht op de toezichthoudende autoriteit haar onafhankelijkheid niet in het gedrang brengt. De lidstaten zorgen ervoor dat de toezichthoudende autoriteit over een eigen jaarlijkse begroting beschikt. De begroting wordt openbaar gemaakt.

7 bis.  Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteit om redenen van begrotingsbewaking verantwoording aan het nationaal parlement dient af te leggen. [Am. 146]

Artikel 48

Algemene voorwaarden voor de leden van de toezichthoudende autoriteit

1.  De lidstaten bepalen dat de leden van de toezichthoudende autoriteit ofwel door het parlement ofwel door de regering van de betrokken lidstaat worden benoemd.

2.  De leden worden gekozen uit personen die alle waarborgen voor onafhankelijkheid bieden en die kunnen aantonen dat zij beschikken over de nodige ervaring en vaardigheden voor de uitvoering van hun taken, met name op het gebied van de bescherming van persoonsgegevens.

3.  De taken van een lid worden beëindigd bij het verstrijken van de ambtstermijn, bij ontslag of bij verplichte pensionering overeenkomstig lid 5.

4.  Een lid kan door de bevoegde nationale gerechtelijke instantie van zijn ambt worden ontheven of van zijn recht op pensioen of andere in de plaats daarvan komende voordelen vervallen worden verklaard, indien hij niet langer voldoet aan de voorwaarden voor de uitvoering van de taken of op ernstige wijze is tekortgeschoten.

5.  Een lid waarvan de ambtstermijn verstrijkt of dat ontslag neemt, blijft zijn taken uitvoeren totdat een nieuw lid is benoemd.

Artikel 49

Oprichting van de toezichthoudende autoriteit

Binnen de grenzen van deze verordening regelt elke lidstaat bij wet:

a)  de oprichting en het statuut van de toezichthoudende autoriteit;

b)  de kwalificaties, de ervaring en de vaardigheden die nodig zijn om de taken van de leden van de toezichthoudende autoriteit uit te voeren;

c)  de voorschriften en de procedures voor de benoeming van de leden van de toezichthoudende autoriteit, alsook de voorschriften in verband met handelingen en activiteiten die met de taken van het ambt onverenigbaar zijn;

d)  de ambtstermijn van de leden van de toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de eerste ambtstermijn na de inwerkingtreding van deze verordening, die korter kan zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende autoriteit door middel van een in de tijd gespreide benoemingsprocedure te beschermen;

e)  of de leden van de toezichthoudende autoriteit opnieuw kunnen worden benoemd;

f)  het statuut en de gemeenschappelijke voorwaarden in verband met de taken van de leden en de personeelsleden van de toezichthoudende autoriteit;

g)  de voorschriften en de procedures voor de beëindiging van de taken van de leden van de toezichthoudende autoriteit, onder meer in het geval dat zij niet langer voldoen aan de voorwaarden voor de uitvoering van hun taken of op ernstige wijze zijn tekortgeschoten.

Artikel 50

Beroepsgeheim

Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun officiële taken ter kennis is gekomen, geldt voor de leden en de personeelsleden van de toezichthoudende autoriteit het beroepsgeheim zowel tijdens hun ambtstermijn als daarna het beroepsgeheim en in overeenstemming met nationale wetgeving in praktijken, waarbij zij hun taken onafhankelijk en transparant uitvoeren, zoals vastgesteld in de verordening. [Am. 147]

AFDELING 2

TAKEN EN BEVOEGDHEDEN

Artikel 51

Competentie

1.  Elke toezichthoudende autoriteit oefent is bevoegd om onverminderd de artikelen 73 en 74 op het grondgebied van haar lidstaat taken uit te voeren en de de bevoegdheden te oefenen uit die haar overeenkomstig deze verordening zijn toegekend. Het toezicht op gegevensverwerking door een overheidsdienst wordt alleen uitgevoerd door de toezichthoudende autoriteit van die lidstaat. [Am. 148]

2.  Wanneer de verwerking van persoonsgegevens plaatsvindt in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie, en de voor de verwerking verantwoordelijke of de verwerker is in meer dan één lidstaat gevestigd, is de toezichthoudende autoriteit van de belangrijkste vestiging van de voor de verwerking verantwoordelijke of de verwerker bevoegd voor het toezicht op de verwerkingen van de voor de verwerking verantwoordelijke of de verwerker in alle lidstaten, onverminderd de bepalingen van hoofdstuk VII van deze verordening. [Am. 149]

3.  De toezichthoudende autoriteit is niet bevoegd om toe te zien op verwerkingen door gerechtelijke instanties in het kader van hun gerechtelijke taken.

Artikel 52

Taken

1.  De toezichthoudende autoriteit:

a)  ziet toe op en waarborgt de toepassing van deze verordening;

b)  neemt kennis van klachten van betrokkenen of van verenigingen die overeenkomstig artikel 73 betrokkenen vertegenwoordigen, onderzoekt de aangelegenheid in de mate waarin dat nodig is en stelt de betrokkene of de vereniging binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van de klacht, met name of verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is; [Am. 150]

c)  deelt informatie mee en biedt wederzijdse bijstand aan andere toezichthoudende autoriteiten en zorgt voor de samenhang in de toepassing en de handhaving van deze verordening;

d)  verricht onderzoeken hetzij op eigen initiatief, hetzij op basis van een klacht of van specifieke en gedocumenteerde gegevens betreffende vermeende onrechtmatige verwerking of op verzoek van een andere toezichthoudende autoriteit, en stelt de betrokkene, als die bij die toezichthoudende autoriteit een klacht heeft ingediend, binnen een redelijke termijn in kennis van het resultaat van de onderzoeken; [Am. 151]

e)  volgt de relevante ontwikkelingen voorzover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkelingen in de informatie- en communicatietechnologieën en de handelspraktijken;

f)  wordt geraadpleegd door de instellingen en organen van de lidstaat over wettelijke en bestuursrechtelijke maatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen inzake de verwerking van persoonsgegevens;

g)  verleent toestemming voor wordt geraadpleegd over de in artikel 34 bedoelde verwerkingen;

h)  brengt overeenkomstig artikel 38, lid 2, advies uit over de ontwerpgedragscodes;

i)  keurt overeenkomstig artikel 43 bindende bedrijfsvoorschriften goed;

j)  neemt deel aan de activiteiten van het Europees Comité voor gegevensbescherming.

j bis)  certificeert de voor de verwerking verantwoordelijken en de verwerkers overeenkomstig artikel 39. [Am. 152]

2.  Elke toezichthoudende autoriteit geeft voorlichting aan het brede publiek over de risico’s, de regels, de garanties en de rechten in verband met de verwerking van persoonsgegevens en over passende maatregelen voor persoonlijke gegevensbescherming. Er wordt bijzondere aandacht besteed aan specifiek op kinderen gerichte activiteiten. [Am. 153]

2 bis.  Elke toezichthoudende autoriteit geeft samen met het Europees Comité voor gegevensbescherming voorlichting aan voor de verwerking verantwoordelijken en verwerkers over de risico's, de regels, de garanties en de rechten in verband met de verwerking van persoonsgegevens. Dit omvat het bijhouden van een register van de sancties en overtredingen. Het register toont alle waarschuwingen en alle sancties zo gedetailleerd mogelijk, alsmede oplossingen voor overtredingen. Elke toezichthoudende autoriteit voorziet voor de verwerking verantwoordelijken en verwerkers van micro-, kleine en middelgrote ondernemingen op verzoek van algemene informatie over hun verantwoordelijkheden en verplichtingen overeenkomstig onderhavige verordening. [Am. 154]

3.  De toezichthoudende autoriteit adviseert op verzoek elke betrokkene bij de uitoefening van zijn rechten uit hoofde van deze verordening en werkt daartoe, indien nodig, samen met de toezichthoudende autoriteiten van andere lidstaten.

4.  Voor de in lid 1, onder b), bedoelde klachten stelt de toezichthoudende autoriteit een klachtenformulier ter beschikking, dat elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

5.  De prestaties van de toezichthoudende autoriteit zijn kosteloos voor de betrokkene.

6.  Wanneer verzoeken kennelijk buitensporig zijn, met name door hun repetitieve karakter, kan de toezichthoudende autoriteit een redelijke vergoeding in rekening brengen of ervoor opteren om de door de betrokkene gevraagde maatregelen niet te nemen. Een dergelijke vergoeding mag niet hoger zijn dan de kosten van het nemen van de gevraagde maatregelen. De bewijslast met betrekking tot het kennelijk buitensporige karakter van het verzoek rust op de toezichthoudende autoriteit. [Am. 155]

Artikel 53

Bevoegdheden

1.  Elk Elke toezichthoudende autoriteit is overeenkomstig deze verordening bevoegd om:

a)  de voor de verwerking verantwoordelijke of de verwerker in kennis te stellen van een vermeende inbreuk op de voorschriften inzake de verwerking van persoonsgegevens en, indien nodig, de voor de verwerking verantwoordelijke of de verwerker te gelasten die inbreuk met bepaalde maatregelen ongedaan te maken, teneinde de bescherming van de betrokkene te verbeteren, of de voor de verwerking verantwoordelijke op te dragen een inbreuk in verband met persoonsgegevens aan de betrokkene mede te delen;

b)  de voor de verwerking verantwoordelijke of de verwerker te gelasten aan de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening te voldoen;

c)  de voor de verwerking verantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger te gelasten alle voor de uitvoering van haar taken relevante informatie te verstrekken;

d)  erop toe te zien dat de in artikel 34 bedoelde voorafgaande toestemmingen en voorafgaande raadplegingen worden nageleefd;

e)  de voor de verwerking verantwoordelijke of de verwerker te waarschuwen of te berispen;

f)  de rectificatie, wissing of vernietiging van alle gegevens te gelasten indien deze in strijd met de bepalingen van deze verordening verwerkt zijn, en te gelasten dat van dergelijke handelingen mededeling wordt gedaan aan derden aan wie de gegevens verstrekt zijn;

g)  een tijdelijk of definitief verwerkingsverbod op te leggen;

h)  gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie op te schorten;

i)  adviezen uit te brengen over alle aangelegenheden in verband met de bescherming van persoonsgegevens;

i bis)  de voor de verwerking verantwoordelijken en de verwerkers te certificeren overeenkomstig artikel 39;

j)  het nationale parlement, de regering of andere politieke instellingen, alsook het grote publiek te informeren over alle aangelegenheden in verband met de bescherming van persoonsgegevens.

j bis)  effectieve mechanismen in te voeren om vertrouwelijke verslaggeving over inbreuken op deze verordening te bevorderen, met inachtneming van de overeenkomstig artikel 66, lid 4 ter, door het Europees Comité voor gegevensbescherming verstrekte richtsnoeren.

2.  Elke toezichthoudende autoriteit kan op grond van haar onderzoeksbevoegdheid zonder voorafgaande kennisgeving van de voor de verwerking verantwoordelijke of de verwerker verlangen dat zij:

a)  toegang krijgt tot alle persoonsgegevens en alle documenten en informatie die zij nodig heeft voor de uitvoering van haar taken;

b)  toegang krijgt tot alle gebouwen en terreinen van de voor de verwerking verantwoordelijke of de verwerker, met inbegrip van alle installaties en middelen voor gegevensverwerking, wanneer er redelijke grond bestaat om aan te nemen dat er in strijd met deze verordening een activiteit wordt verricht.

De onder b) bedoelde bevoegdheden worden in overeeenstemming met het recht van de Unie en het recht van de lidstaat uitgeoefend.

3.  Elke toezichthoudende autoriteit is bevoegd om schendingen van deze verordening ter kennis van de gerechtelijke autoriteiten te brengen en daartegen in rechte op te treden, met name overeenkomstig artikel 74, lid 4, en artikel 75, lid 2.

4.  Elke toezichthoudende autoriteit is overeenkomstig artikel 79 bevoegd om administratieve inbreuken te bestraffen. met name die welke in artikel 79, leden 4, 5 en 6, zijn vermeld. Deze bevoegdheid moeten doeltreffend, evenredig en preventief worden uitgeoefend. [Am. 156]

Artikel 54

Activiteitenverslag

Elke toezichthoudende autoriteit stelt jaarlijks ten minste elke twee jaar een verslag over haar activiteiten op. Het verslag wordt ingediend bij het nationale respectieve parlement, ter beschikking gesteld van de Commissie en het Europees Comité voor gegevensbescherming, en openbaar gemaakt. [Am. 157]

Artikel 54 bis

Hoofdautoriteit

1.  Wanneer persoonsgegevens worden verwerkt in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie en de voor de verwerking verantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd, of wanneer de persoonsgegevens van inwoners van meerdere lidstaten worden verwerkt, handelt de toezichthoudende autoriteit van de hoofdvestiging van de voor de verwerking verantwoordelijke of de verwerker als de autoriteit die verantwoordelijk is voor het toezicht op de verwerkingen van de voor de verwerking verantwoordelijke of de verwerker in alle lidstaten, in overeenstemming met de bepalingen van hoofdstuk VII van deze verordening.

2.  De hoofdautoriteit neemt uitsluitend na raadpleging van alle andere bevoegde toezichthoudende autoriteiten in de zin van artikel 51, lid 1, passende maatregelen voor het toezicht op de verwerkingen van de voor de verwerking verantwoordelijke of verwerker waarvoor de autoriteit verantwoordelijk is, teneinde consensus te bereiken. Daartoe dient ze met name alle relevante gegevens in en raadpleegt ze andere instanties alvorens een maatregel aan te nemen die erop gericht is rechtsgevolgen te hebben voor de voor de verwerking verantwoordelijke of voor de verwerker in de zin van artikel 51, lid 1. De hoofdautoriteit houdt zoveel mogelijk rekening met het advies van de betrokken autoriteiten. De hoofdautoriteit is de enige autoriteit die bevoegd is om te besluiten welke maatregelen dienen te worden getroffen waaraan rechtsgevolgen zijn verbonden met betrekking tot de verwerkingen van de voor de verwerking verantwoordelijke of verwerker waarvoor de autoriteit verantwoordelijk is.

3.  Het Europees Comité voor gegevensbescherming brengt op verzoek van een bevoegde toezichthoudende autoriteit advies uit over de vaststelling van de hoofdautoriteit die verantwoordelijk is voor een voor de verwerking verantwoordelijke of verwerker, indien:

a)  uit de feiten niet duidelijk blijkt waar de hoofdvestiging van de voor de verwerking verantwoordelijke of verwerker zich bevindt; of

b)  de bevoegde autoriteiten het niet eens zijn over welke toezichthoudende autoriteit als hoofdautoriteit moet handelen; of

c)  de voor de verwerking verantwoordelijke niet in de Unie is gevestigd, en hij de gegevens van inwoners van verschillende lidstaten binnen het toepassingsgebied van deze verordening verwerkt.

3 bis.  Indien de voor de verwerking verantwoordelijke ook werkzaamheden uitvoert die tot de taken van een verwerker behoren, handelt de toezichthoudende autoriteit van de hoofdvestiging van de voor de verwerking verantwoordelijke als hoofdautoriteit voor het toezicht op verwerkingen.

4.  Het Europees Comité voor gegevensbescherming kan de hoofdautoriteit aanwijzen. [Am. 158]

HOOFDSTUK VII

SAMENWERKING EN CONFORMITEIT

AFDELING 1

SAMENWERKING

Artikel 55

Wederzijdse bijstand

1.  De toezichthoudende autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen, en nemen maatregelen om effectief met elkaar samen te werken. De wederzijdse samenwerking bestrijkt met name verzoeken om informatie en toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemmingen en raadplegingen, inspecties en onderzoeken en de snelle mededeling van informatie over de opening en het verloop van dossiers wanneer de voor de verwerking verantwoordelijke of de verwerker vestigingen heeft in meerdere lidstaten of wanneer een verwerking betrekking kan hebben op betrokkenen in verschillende lidstaten. De hoofdautoriteit zoals gedefinieerd in artikel 54 bis draagt zorg voor de coördinatie met de betrokken toezichthoudende autoriteiten en fungeert als enig contactpunt voor de voor de verwerking verantwoordelijke of de verwerker. [Am. 159]

2.  Elke toezichthoudende autoriteit neemt alle passende maatregelen die nodig zijn om het verzoek van een andere toezichthoudende autoriteit onverwijld en uiterlijk binnen één maand na de ontvangst van het verzoek te beantwoorden. Daarbij kan het met name gaan om de toezending van relevante informatie over het verloop van een onderzoek of de handhavingsmaatregelen die zijn genomen om verwerkingen die in strijd met deze verordening plaatsvinden, te doen staken of te verbieden.

3.  Het verzoek om informatie bevat alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor de aangelegenheid waarvoor om die informatie verzocht is.

4.  Een toezichthoudende autoriteit tot wie een verzoek om bijstand is gericht, kan dit verzoek slechts afwijzen, indien:

a)  zij niet bevoegd is voor het verzoek; of

b)  het verzoek onverenigbaar is met de bepalingen van de verordening.

5.  De toezichthoudende autoriteit tot wie het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de vooruitgang van de maatregelen die zijn genomen om aan het verzoek van de verzoekende toezichthoudende autoriteit te voldoen.

6.  De toezichthoudende autoriteiten delen de door andere toezichthoudende autoriteiten gevraagde informatie elektronisch en binnen de kortst mogelijke termijn mee met gebruikmaking van een standaardformulier.

7.  De maatregelen die na een verzoek om wederzijdse bijstand worden genomen, zijn kosteloos voor de verzoekende toezichthoudende autoriteit. [Am. 160]

8.  Wanneer een toezichthoudende autoriteit niet binnen één maand op een verzoek van een andere toezichthoudende autoriteit reageert, is de verzoekende toezichthoudende autoriteit bevoegd om overeenkomstig artikel 51, lid 1, een voorlopige maatregel op het grondgebied van haar lidstaat te nemen en legt zij de aangelegenheid volgens de in artikel 57 bedoelde procedure voor aan het Europees Comité voor gegevensbescherming. Zij kan tijdelijke maatregelen overeenkomstig artikel 53 op het grondgebied van haar lidstaat nemen, indien nog geen definitieve maatregel kan worden genomen omdat nog geen overeenkomst voor hulpverlening is bereikt. [Am. 161]

9.  De toezichthoudende autoriteit legt vast hoe lang een dergelijke voorlopige maatregel geldig is. De geldigheidsduur mag niet meer dan drie maanden bedragen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee in overeenstemming met de procedure als bedoeld in artikel 57. [Am. 162]

10.  De Commissie Het Europees Comité voor gegevensbescherming kan het model en de procedures vastleggen voor de wederzijdse bijstand overeenkomstig dit artikel, alsook de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, waaronder het in lid 6 bedoelde standaardformulier. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 163]

Artikel 56

Gezamenlijke maatregelen van toezichthoudende autoriteiten

1.  Om de samenwerking en de wederzijdse bijstand te versterken, voeren de toezichthoudende autoriteiten gezamenlijke onderzoeksmissies uit en nemen zij gezamenlijke handhavingsmaatregelen en andere gezamenlijke maatregelen, waaraan aangewezen leden of personeelsleden van de toezichthoudende autoriteiten van andere lidstaten deelnemen.

2.  In gevallen waarin de voor de verwerking verantwoordelijke of de verwerker vestigingen heeft in meerdere lidstaten of waarin een verwerking betrekking heeft op betrokkenen in verschillende lidstaten heeft de toezichthoudende autoriteit van elk van die lidstaten het recht aan de gezamenlijke onderzoeksmissies of de gezamenlijke maatregelen deel te nemen. De bevoegde toezichthoudende autoriteit nodigt hoofdautoriteit zoals gedefinieerd in artikel 54 bis betrekt de toezichthoudende autoriteit van elk van die lidstaten uit tot deelname aan bij de respectieve gezamenlijke onderzoeksmissies of gezamenlijke maatregelen en beantwoordt onverwijld het verzoek van een toezichthoudende autoriteit om daaraan deel te nemen. De hoofdautoriteit fungeert als het enige contactpunt voor de voor de verwerking verantwoordelijke of de verwerker. [Am. 164]

3.  Elke toezichthoudende autoriteit kan als ontvangende toezichthoudende autoriteit overeenkomstig haar nationale recht en met toestemming van de ondersteunende toezichthoudende autoriteit, aan de aan gezamenlijke maatregelen deelnemende leden of personeelsleden van de ondersteunende toezichthoudende autoriteit uitvoeringsbevoegdheden toekennen, onder meer in verband met het uitvoeren van onderzoeksmissies, of, voor zover het nationale recht van de ontvangende toezichthoudende autoriteit dat toestaat, de leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit toestaan om hun uitvoeringsbevoegdheden overeenkomstig het recht van de ondersteunende toezichthoudende autoriteit uit te oefenen. Deze uitvoerende bevoegdheden mogen hierbij uitsluitend onder leiding en, in beginsel, in aanwezigheid van leden of personeelsleden van de ontvangende toezichthoudende autoriteit worden uitgeoefend. De leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit zijn onderworpen aan het nationale recht van de ontvangende toezichthoudende autoriteit. Hun optreden valt onder de verantwoordelijkheid van de ontvangende toezichthoudende autoriteit.

4.  De toezichthoudende autoriteiten stellen de praktische aspecten van specifieke samenwerkingsmaatregelen vast.

5.  Wanneer een toezichthoudende autoriteit niet binnen één maand aan de in lid 2 vastgestelde verplichting voldoet, zijn de andere toezichthoudende autoriteiten bevoegd om overeenkomstig artikel 51, lid 1, een voorlopige maatregel op het grondgebied van haar lidstaat te nemen.

6.  De toezichthoudende autoriteit legt vast hoe lang een in lid 5 bedoelde voorlopige maatregel geldig is. De geldigheidsduur mag niet meer dan drie maanden bedragen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee en legt de aangelegenheid voor in het kader van de in artikel 57 bedoelde toetsing.

AFDELING 2

CONFORMITEIT

Artikel 57

Conformiteitstoetsing

Voor de in artikel 46, lid 1, genoemde doeleinden werken de toezichthoudende autoriteiten in het kader van de in deze afdeling beschreven conformiteitstoetsing samen met elkaar en met de Commissie via de conformiteitstoetsing aan aangelegenheden van algemene toepassing en in afzonderlijke gevallen in overeenstemming met de bepalingen van deze afdeling [Am. 165]

Artikel 58

Advies van het Europees Comité voor gegevensbescherming Samenhang aangaande aangelegenheden van algemene strekking

1.  Alvorens een toezichthoudende autoriteit een in lid 2 bedoelde maatregel neemt, deelt zij de ontwerpmaatregel mee aan het Europees Comité voor gegevensbescherming en de Commissie.

2.  De in lid 1 genoemde verplichting is van toepassing op een maatregel die rechtsgevolgen in het leven moet roepen en die:

a)  betrekking heeft op verwerkingen die verband houden met het aanbieden van goederen of diensten aan betrokkenen in verschillende lidstaten, of met het observeren van hun gedrag; of

b)  van aanzienlijke invloed kan zijn op het vrije verkeer van persoonsgegevens binnen de Unie; of

c)  de vaststelling beoogt van een lijst van verwerkingen waarvoor overeenkomstig artikel 34, lid 5, voorafgaande raadpleging moet plaatsvinden; of

d)  de vaststelling beoogt van de in artikel 42, lid 2, bedoelde modelbepalingen inzake gegevensbescherming; of

e)  de toestemming beoogt voor de in artikel 42, lid 2, bedoelde contractuele bepalingen; of

f)  de goedkeuring beoogt van bindende bedrijfsvoorschriften in de zin van artikel 43.

3.  Elke toezichthoudende autoriteit of het Europees Comité voor gegevensbescherming kan verzoeken dat een aangelegenheid van algemene strekking aan de conformiteitstoetsing wordt onderworpen, met name wanneer een toezichthoudende autoriteit geen in lid 2 bedoelde ontwerpmaatregel meedeelt of niet voldoet aan de verplichting tot wederzijdse bijstand overeenkomstig artikel 55 of de verplichting inzake gezamenlijke maatregelen overeenkomstig artikel 56.

4.  Om ervoor te zorgen dat deze verordening correct en consequent wordt toegepast, kan de Commissie verzoeken dat een aangelegenheid van algemene strekking aan de conformiteitstoetsing wordt onderworpen.

5.  De toezichthoudende autoriteiten en de Commissie delen elektronisch door middel van een standaardformulier onverwijld alle relevante informatie mee, waaronder naargelang van het geval een samenvatting van de feiten, de ontwerpmaatregel en de redenen waarom een dergelijke maatregel moet worden genomen.

6.  De voorzitter van het Europees Comité voor gegevensbescherming stelt de leden van het Europees Comité voor gegevensbescherming en de Commissie onmiddellijk onverwijld elektronisch door middel van een standaardformulier in kennis van alle relevante informatie die het comité heeft ontvangen. De voorzitter Het secretariaat van het Europees Comité voor gegevensbescherming verstrekt indien nodig vertalingen van relevante informatie.

6 bis.  Het Europees Comité voor gegevensbescherming brengt een advies uit over aangelegenheden die in het kader van lid 2 aan het Comité worden voorgelegd.

7.  Het Europees Comité voor gegevensbescherming brengt over de aangelegenheid een advies uit, indien het Europees Comité daartoe beslist kan met gewone meerderheid van stemmen van zijn leden of indien een toezichthoudende autoriteit of de Commissie binnen één week nadat de relevante informatie overeenkomstig lid 5 is verstrekt, daarom verzoekt. Het besluiten een advies wordt binnen één maand vastgesteld met gewone meerderheid van stemmen van de leden van het Europees Comité voor gegevensbescherming. De voorzitter van het Europees Comité voor gegevensbescherming stelt zonder onnodige vertraging de in de leden 1 en 3 bedoelde toezichthoudende autoriteit, de Commissie en de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit in kennis van het advies en maakt dat advies bekend. uit te brengen over een krachtens de leden 3 en 4 voorgelegde aangelegenheid, waarbij in aanmerking wordt genomen:

a)  of de aangelegenheid nieuwe elementen omvat, waarbij rekening wordt gehouden met juridische of feitelijke ontwikkelingen, met name in het licht van de informatietechnologie en de stand van zaken in de informatiemaatschappij; en

b)  of het Europees Comité voor gegevensbescherming reeds een advies over dezelfde aangelegenheid heeft uitgebracht.

8.  De in lid 1 bedoelde toezichthoudende autoriteit en de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit nemen het advies van Het Europees Comité voor gegevensbescherming in aanmerking en delen de voorzitter van het Europees Comité voor gegevensbescherming en de Commissie binnen twee weken nadat het advies door de voorzitter van het Europees Comité voor gegevensbescherming ter kennis is gebracht, elektronisch door middel van een standaardformulier mee of zij hun ontwerpmaatregel handhaven of wijzigen en delen in voorkomend geval de gewijzigde ontwerpmaatregel mee. brengt adviezen uit overeenkomstig de artikelen 6 bis en 7 door middel van een gewone meerderheid van de stemmen van de leden. Deze adviezen worden openbaar gemaakt. [Am. 166]

Artikel 58 bis

Samenhang in afzonderlijke gevallen

1.  Alvorens een maatregel te nemen waaraan rechtsgevolgen zijn verbonden in de zin van artikel 54 bis, deelt de hoofdautoriteit alle relevante informatie en legt hij de ontwerpmaatregel voor aan alle andere bevoegde autoriteiten. De hoofdautoriteit neemt de maatregel niet aan indien een bevoegde autoriteit binnen een periode van drie weken groot bezwaar maakt tegen de maatregel.

2.  Wanneer een bevoegde autoriteit groot bezwaar heeft gemaakt tegen een ontwerpmaatregel van de hoofdautoriteit, of wanneer de hoofdautoriteit geen ontwerpmaatregel als bedoeld in lid 1 indient of niet voldoet aan de verplichtingen inzake wederzijdse bijstand in overeenstemming met artikel 55 of inzake gezamenlijk optreden in overeenstemming met artikel 56, wordt de aangelegenheid door het Europees Comité voor gegevensbeschouwing bestudeerd.

3.  De hoofdautoriteit en/of andere betrokken bevoegde autoriteiten en de Commissie delen elektronisch door middel van een standaardformulier zonder onnodige vertraging alle relevante informatie mee aan het Europees Comité voor gegevensbescherming, waaronder naargelang van het geval een samenvatting van de feiten, de ontwerpmaatregel, de redenen waarom een dergelijke maatregel moet worden genomen, de bezwaren die tegen de maatregel zijn gemaakt en de standpunten van andere betrokken toezichthoudende autoriteiten.

4.  Het Europees Comité voor gegevensbescherming bestudeert de aangelegenheid met inachtneming van de gevolgen van de ontwerpmaatregel van de hoofdautoriteit voor de fundamentele rechten en vrijheden van de betrokkenen, en besluit met gewone meerderheid van stemmen van de leden om al dan niet een advies uit te brengen over de aangelegenheid binnen twee weken nadat de relevante informatie overeenkomstig lid 3 is verstrekt.

5.  Ingeval het Europees Comité voor gegevensbescherming besluit een advies uit te brengen, wordt dit advies uitgebracht binnen zes weken en openbaar gemaakt.

6.  De hoofdautoriteit houdt zoveel mogelijk rekening met het advies van het Europees Comité voor gegevensbescherming en deelt de voorzitter van het Europees Comité voor gegevensbescherming en de Commissie binnen twee weken nadat het advies door de voorzitter van het Europees Comité voor gegevensbescherming ter kennis is gebracht, elektronisch door middel van een standaardformulier mee of ze haar ontwerpmaatregel handhaaft of wijzigt en deelt in voorkomend geval de gewijzigde ontwerpmaatregel mee. Ingeval de hoofdautoriteit het advies van het Europees Comité voor gegevensbescherming niet wenst op te volgen, verstrekt zij een onderbouwde motivering.

7.  Ingeval het Europees Comité voor gegevensbescherming nog altijd bezwaren heeft tegen de maatregel van de toezichthoudende autoriteit zoals bedoeld in lid 5, kan het bij tweederde meerderheid binnen één maand een voor de toezichthoudende autoriteit bindende maatregel treffen. [Am. 167]

Artikel 59

Advies van de Commissie

1.  Om ervoor te zorgen dat deze verordening correct en consequent wordt toegepast, kan de Commissie binnen tien weken nadat een aangelegenheid overeenkomstig artikel 58 is voorgelegd, of uiterlijk binnen zes weken in het geval van artikel 61, een advies vaststellen in verband met aangelegenheden die haar overeenkomstig de artikelen 58 of 61 zijn voorgelegd.

2.  Wanneer de Commissie overeenkomstig lid 1 een advies heeft vastgesteld, neemt de betrokken toezichthoudende autoriteit het advies van de Commissie zoveel mogelijk in aanmerking en deelt zij de Commissie en het Europees Comité voor gegevensbescherming mee of zij voornemens is haar ontwerpmaatregel te handhaven of te wijzigen.

3.  Tijdens de in lid 1 bedoelde periode stelt de toezichthoudende autoriteit de ontwerpmaatregel niet vast.

4.  Wanneer de betrokken toezichthoudende autoriteit niet voornemens is het advies van de Commissie te volgen, stelt zij de Commissie en het Europees Comité voor gegevensbescherming daarvan binnen de in lid 1 bedoelde termijn in kennis. In dat geval wordt de ontwerpmaatregel gedurende nog één maand niet vastgesteld. [Am. 168]

Artikel 60

Schorsing van een ontwerpmaatregel

1.  Binnen één maand na de in artikel 59, lid 4, bedoelde mededeling kan de Commissie, wanneer zij ernstig betwijfelt of de ontwerpmaatregel voor correcte toepassing van deze verordening zorgt of anderszins tot inconsequente toepassing zou leiden, een met redenen omkleed besluit vaststellen, waarin de toezichthoudende autoriteit gevraagd wordt de vaststelling van de ontwerpmaatregel te schorsen, rekening houdend met het advies dat overeenkomstig artikel 58, lid 7, of artikel 61, lid 2, door het Europees Comité voor gegevensbescherming is uitgebracht, indien dat nodig lijkt om:

a)  de uiteenlopende standpunten van de toezichthoudende autoriteit en het Europees Comité voor gegevensbescherming te verzoenen, als dat nog mogelijk blijkt; of

b)  overeenkomstig artikel 62, lid 1, onder a), een maatregel vast te stellen.

2.  De Commissie legt de duur van de schorsing vast, die evenwel niet langer mag zijn dan twaalf maanden.

3.  Tijdens de in lid 2 bedoelde periode mag de toezichthoudende autoriteit de ontwerpmaatregel niet vaststellen. [Am. 169]

Artikel 60 bis

Melding van het Europees Parlement en de Raad

De Commissie brengt het Europees Parlement en de Raad op basis van een verslag van de voorzitter van het Europees Comité voor gegevensbescherming regelmatig en ten minste op halfjaarlijkse basis op de hoogte van de in het kader van de conformiteitstoetsing behandelde zaken en maakt daarbij de conclusies van de Commissie en het Europees Comité voor gegevensbescherming met betrekking tot de waarborging van de consequente toepassing van deze verordening kenbaar. [Am. 170]

Artikel 61

Spoedprocedure

1.  In buitengewone omstandigheden kan een toezichthoudende autoriteit, wanneer zij van mening is dat er dringend moet worden opgetreden om de belangen van betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk kan worden belemmerd door een verandering in de bestaande toestand, om grote nadelen af te wenden of om andere redenen, in afwijking van de in artikel 58 58 bis bedoelde procedure onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur nemen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee. [Am. 171]

2.  Wanneer een toezichthoudende autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het Europees Comité voor gegevensbescherming met opgave van redenen, waaronder de redenen waarom de definitieve maatregelen spoedeisend zijn, om een dringend advies verzoeken.

3.  Een toezichthoudende autoriteit kan met opgave van redenen, waaronder de redenen waarom er dringend moet worden opgetreden, om een dringend advies verzoeken, wanneer de bevoegde toezichthoudende autoriteit geen passende maatregel heeft genomen in een situatie waarin er dringend moet worden opgetreden om de belangen van betrokkenen te beschermen.

4.  In afwijking van artikel 58, lid 7, wordt Een in de leden 2 en 3 bedoeld dringend advies wordt binnen twee weken met gewone meerderheid van stemmen van de leden van het Europees Comité voor gegevensbescherming vastgesteld. [Am. 172]

Artikel 62

Uitvoeringshandelingen

1.  De Commissie kan, na advies te hebben ingewonnen bij het Europees Comité voor gegevensbescherming, uitvoeringshandelingen van algemene strekking vaststellen om:

a)  te besluiten over de correcte toepassing van deze verordening overeenkomstig haar doelstellingen en vereisten in verband met aangelegenheden die overeenkomstig artikel 58 of artikel 61 door toezichthoudende autoriteiten zijn meegedeeld, een aangelegenheid waarvoor overeenkomstig artikel 60, lid 1, een met redenen omkleed besluit is vastgesteld of een aangelegenheid waarvoor een toezichthoudende autoriteit geen ontwerpmaatregel indient en zij heeft meegedeeld dat zij niet voornemens is het overeenkomstig artikel 59 door de Commissie vastgestelde advies te volgen;

b)  binnen de in artikel 59, lid 1, bedoelde termijn te besluiten of zij in artikel 58, 42, lid 2, onder d), bedoelde ontwerp‑modelbepalingen inzake gegevensbescherming algemeen geldig verklaart;

c)  het model en de procedures voor de toepassing van de in deze afdeling bedoelde conformiteitstoetsing vast te leggen;

d)  de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, met name het in artikel 58, leden 5, 6 en 8, bedoelde standaardformulier, vast te leggen.

Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

2.  De Commissie stelt om dwingende en gegronde redenen van spoedeisendheid die verband houden met de belangen van betrokkenen in de in lid 1, onder a), bedoelde gevallen, onmiddellijk van toepassing zijnde uitvoeringshandelingen vast volgens de in artikel 87, lid 3, bedoelde procedure. Die handelingen blijven geldig voor een duur die niet langer mag zijn dan twaalf maanden.

3.  De vaststelling of niet-vaststelling van een maatregel overeenkomstig deze afdeling doet geen afbreuk aan andere maatregelen die de Commissie overeenkomstig het Verdrag heeft vastgesteld. [Am. 173]

Artikel 63

Tenuitvoerlegging

1.  Voor de toepassing van deze verordening wordt een uitvoerbare maatregel van de toezichthoudende autoriteit van een lidstaat in alle betrokken lidstaten ten uitvoer gelegd.

2.  Wanneer een toezichthoudende autoriteit voor een ontwerpmaatregel in strijd met artikel 58, leden 1 tot en met 5 en 2, de conformiteitstoetsing niet naleeft, dan wel een maatregel vaststelt ondanks het feit dat er groot bezwaar is gemaakt uit hoofde van artikel 58 bis, lid 1, wordt die de maatregel van de toezichthoudende autoriteit niet rechtsgeldig en uitvoerbaar geacht. [Am. 174]

AFDELING 3

EUROPEES COMITÉ VOOR GEGEVENSBESCHERMING

Artikel 64

Europees Comité voor gegevensbescherming

1.  Er wordt een Europees Comité voor gegevensbescherming ingesteld.

2.  Het Europees Comité voor gegevensbescherming bestaat uit de voorzitter van één toezichthoudende autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming.

3.  Wanneer in een lidstaat meer dan één toezichthoudende autoriteit belast is met het toezicht op de toepassing van de bepalingen van deze verordening, wordt de voorzitter van één van deze toezichthoudende autoriteiten als gezamenlijke vertegenwoordiger aangewezen.

4.  De Commissie heeft het recht deel te nemen aan de activiteiten en bijeenkomsten van het Europees Comité voor gegevensbescherming en wijst een vertegenwoordiger aan. De voorzitter van het Europees Comité voor gegevensbescherming informeert de Commissie onverwijld over alle activiteiten van het Europees Comité voor gegevensbescherming.

Artikel 65

Onafhankelijkheid

1.  Het Europees Comité voor gegevensbescherming treedt bij de uitvoering van zijn taken overeenkomstig de artikelen 66 en 67 onafhankelijk op.

2.  Onverminderd de in artikel 66, lid 1, onder b), en artikel 66, lid 2, bedoelde verzoeken van de Commissie, vraagt noch aanvaardt het Europees Comité voor gegevensbescherming instructies van wie dan ook.

Artikel 66

Taken van het Europees Comité voor gegevensbescherming

1.  Het Europees Comité voor gegevensbescherming zorgt ervoor dat deze verordening consequent wordt toegepast. Daartoe verricht het Europees Comité voor gegevensbescherming op eigen initiatief of op verzoek van het Europees Parlement, de Raad of de Commissie de volgende activiteiten:

a)  adviseren van de Commissie Europese instellingen over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze verordening;

b)  onderzoeken van, op eigen initiatief of op verzoek van één van zijn leden of op verzoek van het Europees Parlement, de Raad of de Commissie, van alle kwesties in verband met de toepassing van deze verordening en opstellen van richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten, waaronder over het gebruik van handhavingsbevoegdheden, teneinde te bevorderen dat deze verordening consequent wordt toegepast;

c)  evalueren van de praktische toepassing van de onder b) bedoelde richtsnoeren, aanbevelingen en beste praktijken en hierover regelmatig verslag uitbrengen bij de Commissie;

d)  uitbrengen van adviezen over ontwerpbesluiten van de toezichthoudende autoriteiten in het kader van de in artikel 57 bedoelde conformiteitstoetsing;

d bis)  uitbrengen van adviezen over de autoriteit die de hoofdautoriteit zou moeten zijn overeenkomstig artikel 54 bis, lid 3;

e)  bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van de informatie en praktijken tussen de toezichthoudende autoriteiten, met inbegrip van de coördinatie van gezamenlijke maatregelen en andere gezamenlijke activiteiten, wanneer deze daar op verzoek van één of meerdere toezichthoudende autoriteit toe besluit;

f)  bevorderen van gemeenschappelijke opleidingsprogramma’s en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, alsook, in voorkomend geval, met de toezichthoudende autoriteiten van derde landen of van internationale organisaties;

g)  bevorderen van de uitwisseling van kennis en documentatie over de wetgeving en praktijken op het gebied van gegevensbescherming met de toezichthoudende autoriteiten op het gebied van gegevensbescherming wereldwijd;

g bis)  uitbrengen van adviezen aan de Commissie ten behoeve van de voorbereiding van gedelegeerde en uitvoeringshandelingen op basis van deze verordening;

g ter)  uitbrengen van advies over de op het niveau van de Unie opgestelde gedragscodes overeenkomstig artikel 38, lid 4;

g quater)  uitbrengen van advies over de criteria en vereisten voor de certificeringsmechanismen voor gegevensbescherming overeenkomstig artikel 39, lid 2;

g quinquies)  bijhouden van een openbaar elektronisch register van geldige en ongeldige certificaten overeenkomstig artikel 39, lid 1 nonies;

g sexies)  verlenen van bijstand aan nationale toezichthoudende autoriteiten, op hun verzoek;

g septies)  vaststellen en openbaar maken van een lijst van verwerkingen waarvoor overeenkomstig artikel 34 voorafgaande raadpleging moet plaatsvinden;

g octies)  bijhouden van een register van sancties die zijn opgelegd aan voor de verwerking verantwoordelijken of verwerkers door de bevoegde toezichthoudende autoriteiten.

2.  Wanneer het Europees Parlement, de Raad of de Commissie het Europees Comité voor gegevensbescherming om advies vraagt, kan zij dit/deze een termijn bepalen waarbinnen het gevraagde advies moet worden uitgebracht, met inachtneming van de spoedeisendheid van de aangelegenheid.

3.  Het Europees Comité voor gegevensbescherming zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan het Europees Parlement, de Raad en de Commissie en aan het in artikel 87 bedoelde comité en maakt deze bekend.

4.  De Commissie informeert het Europees Comité voor gegevensbescherming over de maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van het Europees Comité voor gegevensbescherming heeft genomen.

4 bis.  Het Europees Comité voor gegevensbescherming raadpleegt in voorkomend geval de belanghebbende partijen en biedt hun de gelegenheid om binnen een redelijk tijdsbestek commentaar te leveren. Onverlet artikel 72 maakt het Europees Comité voor gegevensbescherming de resultaten van de raadpleging openbaar.

4 ter.  Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig lid 1, onder b), teneinde gemeenschappelijke procedures vast te stellen voor het ontvangen en onderzoeken van informatie betreffende aantijgingen van onrechtmatige verwerking en voor het beschermen van de vertrouwelijkheid en de bronnen van de ontvangen informatie. [Am. 175]

Artikel 67

Rapportage

1.  Het Europees Comité voor gegevensbescherming informeert het Europees Parlement, de Raad en de Commissie regelmatig en tijdig over de resultaten van zijn activiteiten. Het stelt ten minste eens per twee jaar een jaarverslag verslag op over de situatie in verband met de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in de Unie en in derde landen.

Het verslag omvat de in artikel 66, lid 1, onder c), bedoelde evaluatie van de richtsnoeren, aanbevelingen en beste praktijken. [Am. 176]

2.  Het verslag wordt openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie.

Artikel 68

Procedure

1.  Het Europees Comité voor gegevensbescherming neemt besluiten met gewone meerderheid van zijn leden, tenzij anders bepaald in zijn reglement van orde. [Am. 177]

2.  Het Europees Comité voor gegevensbescherming stelt zijn reglement van orde en zijn eigen werkregelingen vast. Het comité zorgt er met name voor dat het zijn activiteiten kan voortzetten wanneer de ambtstermijn van een lid afloopt of een lid ontslag neemt, dat er voor specifieke kwesties of sectoren subgroepen worden opgericht en dat er voor de in artikel 57 bedoelde conformiteitstoetsing procedures worden vastgesteld.

Artikel 69

Voorzitter

1.  Het Europees Comité voor gegevensbescherming kiest uit zijn leden een voorzitter en ten minste twee vicevoorzitters. De Europese Toezichthouder voor gegevensbescherming is een van de twee vicevoorzitters, tenzij hij tot voorzitter is gekozen. [Am. 178]

2.  De ambtstermijn van de voorzitter en de vicevoorzitters bedraagt vijf jaar en kan eenmaal worden verlengd.

2 bis.  De functie van de voorzitter is een volledige betrekking. [Am. 179]

Artikel 70

Taken van de voorzitter

1.  De voorzitter heeft de volgende taken:

a)  het samenroepen van de bijeenkomsten van het Europees Comité voor gegevensbescherming en het voorbereiden van de agenda daarvan;

b)  ervoor zorgen dat de taken van het Europees Comité voor gegevensbescherming tijdig worden uitgevoerd, met name wat de in artikel 57 bedoelde conformiteitstoetsing betreft.

2.  Het Europees Comité voor gegevensbescherming stelt in zijn reglement van orde de taakverdeling tussen de voorzitter en de vicevoorzitters vast.

Artikel 71

Secretariaat

1.  Het Europees Comité voor gegevensbescherming heeft een secretariaat. De Europese Toezichthouder voor gegevensbescherming zorgt voor dat secretariaat.

2.  Het secretariaat biedt het Europees Comité voor gegevensbescherming onder leiding van zijn voorzitter analytische, juridische, administratieve en logistieke ondersteuning. [Am. 180]

3.  Het secretariaat is met name belast met:

a)  de dagelijkse werking van het Europees Comité voor gegevensbescherming;

b)  de communicatie tussen de leden van het Europees Comité voor gegevensbescherming, zijn voorzitter en de Commissie en de communicatie met andere instellingen en het brede publiek;

c)  het gebruik van elektronische middelen voor interne en externe communicatie;

d)  de vertaling van relevante informatie;

e)  de voorbereiding en follow‑up van de bijeenkomsten van het Europees Comité voor gegevensbescherming;

f)  de voorbereiding, het opstellen en de bekendmaking van de adviezen en andere teksten die door het Europees Comité voor gegevensbescherming worden aangenomen.

Artikel 72

Vertrouwelijkheid

1.  De besprekingen van het Europees Comité voor gegevensbescherming kunnen indien nodig vertrouwelijk zijn, vertrouwelijk. tenzij het reglement anders bepaalt. De agenda van de vergadering van het Europees Comité voor gegevensbescherming wordt openbaar gemaakt. [Am. 181]

2.  De documenten die aan de leden van het Europees Comité voor gegevensbescherming, deskundigen en vertegenwoordigers van derde partijen worden voorgelegd, zijn vertrouwelijk, tenzij daartoe overeenkomstig Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad(20) toegang is verleend of het Europees Comité voor gegevensbescherming deze op een andere wijze bekendmaakt.

3.  De leden van het Europees Comité voor gegevensbescherming alsmede de deskundigen en de vertegenwoordigers van derde partijen zijn verplicht de in dit artikel vastgestelde vertrouwelijkheidsplicht na te leven. De voorzitter zorgt ervoor dat de deskundigen en de vertegenwoordigers van derde partijen in kennis worden gesteld van de voor hen geldende vertrouwelijkheidsvereisten.

HOOFDSTUK VIII

BEROEP, AANSPRAKELIJKHEID EN SANCTIES

Artikel 73

Recht een klacht in te dienen bij een toezichthoudende autoriteit

1.  Onverminderd andere mogelijkheden van administratief beroep of beroep in rechte en de conformiteitstoetsing, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens niet aan deze verordening voldoet.

2.  Alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben en in het openbaar belang handelen en die op geldige wijze volgens het recht van een lidstaat zijn opgericht, hebben het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat namens een of meer betrokkenen, indien zij van mening zijn dat de rechten van betrokkenen uit hoofde van deze verordening geschonden zijn als gevolg van de verwerking van persoonsgegevens.

3.  Onafhankelijk van een klacht van een betrokkene, hebben alle in lid 2 bedoelde organen, organisaties of verenigingen het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien zij van mening zijn dat er een inbreuk in verband met persoonsgegevens van deze verordening heeft plaatsgevonden. [Am. 182]

Artikel 74

Recht een beroep in rechte in te stellen tegen een toezichthoudende autoriteit

1.  Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere natuurlijke of rechtspersoon heeft het recht tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen.

2.  Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene heeft het recht een beroep in rechte in te stellen teneinde de toezichthoudende autoriteit te verplichten aan een klacht gevolg te geven, wanneer er geen besluit is genomen dat nodig is voor de bescherming van zijn rechten of wanneer de toezichthoudende autoriteit hem niet overeenkomstig artikel 52, lid 1, onder b), binnen drie maanden van de vooruitgang of het resultaat van de klacht in kennis heeft gesteld.

3.  Een vordering tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechtelijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

4.  Onverminderd de conformiteitstoetsing kan een betrokkene waarop een besluit van een toezichthoudende autoriteit van een andere lidstaat dan die waar hij gewoonlijk verblijft, betrekking heeft, kan de toezichthoudende autoriteit van de lidstaat waar hij gewoonlijk verblijft vragen om namens hem in de andere lidstaat tegen de bevoegde toezichthoudende autoriteit een vordering in te stellen.

5.  De lidstaten leggen de definitieve beslissingen van de gerechtelijke instanties in de zin van dit artikel ten uitvoer. [Am. 183]

Artikel 75

Recht een beroep in rechte in te stellen tegen een voor de verwerking verantwoordelijke of een verwerker

1.  Onverminderd andere mogelijkheden van administratief beroep, waaronder het in artikel 73 bedoelde recht een klacht in te dienen bij een toezichthoudende autoriteit, heeft iedere natuurlijke persoon het recht een beroep in rechte in te stellen, indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn als gevolg van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.

2.  Een vordering tegen een voor de verwerking verantwoordelijke of een verwerker wordt ingesteld bij de gerechtelijke instanties van de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker een vestiging heeft. Een dergelijke vordering kan ook worden ingesteld bij de gerechtelijke instanties van de lidstaat waar de betrokkene gewoonlijk verblijft, tenzij de voor de verwerking verantwoordelijke een autoriteit is van de Unie of een lidstaat die optreedt in de uitoefening van het overheidsgezag. [Am. 184]

3.  Wanneer dezelfde maatregel, hetzelfde besluit of dezelfde praktijk het voorwerp uitmaakt van de in artikel 58 bedoelde conformiteitstoetsing, kan een gerechtelijke instantie het voor haar aanhangige geding schorsen, tenzij het op grond van spoedeisendheid voor de bescherming van de rechten van betrokkene niet mogelijk is om te wachten op het resultaat van de conformiteitstoetsing.

4.  De lidstaten leggen de definitieve beslissingen van de gerechtelijke instanties in de zin van dit artikel ten uitvoer.

Artikel 76

Gemeenschappelijke voorschriften voor beroepen in rechte

1.  Alle in artikel 73, lid 2, bedoelde organen, organisaties of verenigingen hebben het recht de in de artikelen 74, en 75 en 77 bedoelde rechten namens uit te oefenen indien zij hiertoe zijn gemachtigd door één of meer betrokkenen. uit te oefenen. [Am. 185]

2.  Elke toezichthoudende autoriteit heeft het recht in rechte op te treden en bij een gerechtelijke instantie een vordering in te stellen om de bepalingen van deze verordening te doen naleven of om de conformiteit van de bescherming van persoonsgegevens in de Unie te garanderen.

3.  Wanneer een bevoegde gerechtelijke instantie van een lidstaat gegronde redenen heeft om aan te nemen dat er tegelijkertijd in een andere lidstaat een vordering is ingesteld, neemt het contact op met de bevoegde gerechtelijke instantie in de andere lidstaat om zich ervan te vergewissen dat er een dergelijk parallel geding bestaat.

4.  Wanneer een dergelijk parallel geding in een andere lidstaat dezelfde maatregel, hetzelfde besluit of dezelfde praktijk betreft, kan de gerechtelijke instantie het geding schorsen.

5.  De lidstaten zorgen ervoor dat hun nationale wetgeving voorziet in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen, met inbegrip van voorlopige maatregelen, om de vermeende inbreuk te doen eindigen en om te verhinderen dat de betrokken belangen verder worden geschaad.

Artikel 77

Recht op vergoeding en aansprakelijkheid

1.  Iedere persoon die schade - waaronder immateriële schade - heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die met deze verordening strijdig is, heeft het recht om van de voor de verwerking verantwoordelijke of de verwerker vergoeding te ontvangen eisen. [Am. 186]

2.  Wanneer meer dan één voor de verwerking verantwoordelijke of verwerker bij de verwerking betrokken is, zijn alle al deze voor de verwerking verantwoordelijken en verwerkers hoofdelijk gehouden tot volledige vergoeding van de schade, tenzij zij beschikken over een adequate schriftelijke overeenkomst waarin de verantwoordelijkheden zijn vastgelegd overeenkomstig artikel 24. [Am. 187]

3.  De voor de verwerking verantwoordelijke of de verwerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Artikel 78

Sancties

1.  De lidstaten stellen de regels inzake sancties vast die van toepassing zijn op schendingen van deze verordening en treffen alle maatregelen die nodig zijn om de daadwerkelijke toepassing van die sancties te garanderen, onder meer in het geval waarin de voor de verwerking verantwoordelijke de verplichting om een vertegenwoordiger aan te wijzen niet heeft nageleefd. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn.

2.  Wanneer de voor de verwerking verantwoordelijke een vertegenwoordiger heeft aangewezen, worden alle sancties op de vertegenwoordiger toegepast, onverminderd de sanctieprocedures die tegen de voor de verwerking verantwoordelijke kunnen worden ingesteld.

3.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 79

Administratieve sancties

1.  Elke toezichthoudende autoriteit is bevoegd om overeenkomstig dit artikel administratieve sancties op te leggen. De toezichthoudende autoriteiten werken met elkaar samen in overeenstemming met de artikelen 46 en 57 om te zorgen voor een geharmoniseerd sanctieniveau in de Unie.

2.  De administratieve sanctie is in elke zaak doeltreffend, evenredig en afschrikkend. Het bedrag van de administratieve geldboete wordt vastgesteld op grond van de aard, de ernst en de duur van de inbreuk, het feit of de inbreuk opzettelijk of uit nalatigheid is gepleegd, de mate waarin de natuurlijke of de rechtspersoon aansprakelijk is en reeds vorige inbreuken heeft gepleegd, de technische en organisatorische maatregelen en procedures die overeenkomstig artikel 23 ten uitvoer zijn gelegd en de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen.

2 bis.  De toezichthoudende autoriteit legt eenieder die de verplichtingen krachtens deze verordening niet naleeft, ten minste een van de volgende sancties op:

a)  een schriftelijke waarschuwing in het geval van een eerste en niet-opzettelijke niet-naleving;

b)  regelmatige, periodieke gegevensbeschermingsaudits;

c)  een boete tot 100 000 000 euro of tot 5 % van de jaarlijkse wereldwijde omzet in het geval van een onderneming, afhankelijk van welk bedrag hoger is.

2 ter.  Indien de voor de verwerking verantwoordelijke of de verwerker beschikt over een geldig "Europees gegevensbeschermingszegel" overeenkomstig artikel 39, wordt enkel een boete overeenkomstig lid 2 bis, onder c), opgelegd bij een inbreuk als gevolg van opzet of niet-naleving wegens nalatigheid.

2 quater.  Bij de administratieve sanctie wordt rekening gehouden met de volgende factoren:

a)  de aard, de ernst en de duur van de niet-naleving,

b)  het feit of de inbreuk opzettelijk of uit nalatigheid is gepleegd,

c)  de mate waarin de natuurlijke of de rechtspersoon aansprakelijk is en eerdere inbreuken heeft gepleegd,

d)  het herhaaldelijke karakter van de inbreuk,

e)  de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen ervan te beperken,

f)  de specifieke door de inbreuk getroffen categorieën persoonsgegevens,

g)  de hoeveelheid door de betrokkenen geleden schade, waaronder immateriële schade,

h)  de door de voor de verwerking verantwoordelijke of door de verwerker genomen maatregelen om de door de betrokkenen geleden schade te beperken,

i)  alle nagestreefde of gerealiseerde financiële voordelen, of vermeden verliezen, die direct of indirect uit de inbreuk voortvloeien,

j)  de technische en organisatorische maatregelen en procedures die ten uitvoer zijn gelegd overeenkomstig:

i)  Artikel 23 - Privacy by design en by default

ii)  Artikel 30 - Beveiliging van de verwerking

iii)  Artikel 33 - Privacyeffectbeoordeling

iv)  Artikel 33 bis - Beoordeling van de naleving van de gegevensbescherming

v)  Artikel 35 - Aanwijzing van de functionaris voor gegevensbescherming

k)  de weigering tot samenwerking of tegenwerking bij inspecties, audits en controles van de toezichthoudende autoriteit overeenkomstig artikel 53,

l)  andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factoren.

3.  Bij een eerste en niet‑opzettelijke niet‑naleving van deze verordening kan een schriftelijke waarschuwing worden gegeven zonder dat er een sanctie wordt opgelegd, wanneer:

a)  een natuurlijke persoon persoonsgegevens verwerkt zonder commerciële belangen; of

b)  een onderneming of organisatie met minder dan 250 werknemers persoonsgegevens slechts als nevenactiviteit verwerkt.

4.  De toezichthoudende autoriteit legt een geldboete tot 250 000 euro op of, bij een onderneming, een geldboete van 0,5 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)  niet voorziet in mechanismen voor de uitoefening van de rechten van betrokkenen of niet onmiddellijk of in de vereiste vorm betrokkenen antwoordt overeenkomstig artikel 12, leden 1 en 2;

b)  in strijd met artikel 12, lid 4, een vergoeding aanrekent voor informatie of voor het beantwoorden van verzoeken van betrokkenen.

5.  De toezichthoudende autoriteit legt een geldboete tot 500 000 euro op of, bij een onderneming, een geldboete van 1 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)  de betrokkene geen informatie verstrekt, of onvolledige informatie verstrekt, of de informatie niet op voldoende transparante wijze verstrekt overeenkomstig artikel 11, artikel 12, lid 3, en artikel 14;

b)  de betrokkene geen toegang verstrekt overeenkomstig artikel 15, persoonsgegevens niet rectificeert overeenkomstig artikel 16 of een ontvanger relevante informatie niet meedeelt overeenkomstig artikel 13;

c)  het recht om te worden vergeten of het recht op uitwissing van gegevens niet eerbiedigt, geen mechanismen invoert om ervoor te zorgen dat de termijnen worden nageleefd, of niet alle nodige maatregelen neemt om derde partijen in kennis te stellen van verzoeken van betrokkenen om koppelingen naar of kopieën of reproducties van persoonsgegevens uit te wissen overeenkomstig artikel 17;

d)  in strijd met artikel 18 geen elektronische kopie van persoonsgegevens verstrekt of de betrokkene verhindert om persoonsgegevens naar een andere toepassing over te dragen;

e)  niet of niet voldoende de respectieve verantwoordelijkheden van gemeenschappelijk voor de verwerking verantwoordelijken vaststelt overeenkomstig artikel 24;

f)  geen of niet voldoende documenten bewaart overeenkomstig artikel 28, artikel 31, lid 4, en artikel 44, lid 3;

g)  in gevallen waarin geen bijzondere categorieën gegevens worden verwerkt, de voorschriften in verband met de vrijheid van meningsuiting of de verwerking in het kader van de arbeidsverhouding, of de voorwaarden voor verwerking voor historische, statistische of wetenschappelijke doeleinden niet naleeft overeenkomstig de artikelen 80, 82 en 93.

6.  De toezichthoudende autoriteit legt een geldboete tot 1 000 000 euro op of, bij een onderneming, een geldboete van 2 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)  persoonsgegevens verwerkt zonder of zonder toereikende rechtsgrondslag voor de verwerking of de voorwaarden voor toestemming niet naleeft overeenkomstig de artikelen 6, 7 en 8;

b)  in strijd met de artikelen 9 en 81 bijzondere categorieën gegevens verwerkt;

c)  geen gevolg geeft aan een bezwaar of een verplichting overeenkomstig artikel 19;

d)  de voorwaarden in verband met de maatregelen op basis van profilering niet naleeft overeenkomstig artikel 20;

e)  geen intern beleid vaststelt of geen passende maatregelen uitvoert om voor naleving te zorgen en die naleving te kunnen aantonen overeenkomstig de artikelen 22, 23 en 30;

f)  geen vertegenwoordiger aanwijst overeenkomstig artikel 25;

g)  persoonsgegevens verwerkt, of opdracht tot de verwerking van persoonsgegevens geeft, in strijd met de verplichtingen inzake verwerking namens een voor de verwerking verantwoordelijke overeenkomstig de artikelen 26 en 27;

h)  de toezichthoudende autoriteit of de betrokkene niet waarschuwt bij een inbreuk in verband met persoonsgegevens of die inbreuk niet tijdig of niet volledig meldt overeenkomstig de artikelen 31 en 32;

i)  geen privacyeffectbeoordeling verricht, of persoonsgegevens verwerkt zonder voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit overeenkomstig de artikelen 33 en 34;

j)  geen gegevensbeschermingsfunctionaris aanwijst of niet de voorwaarden in het leven roept voor de uitvoering van diens taken overeenkomstig de artikelen 35, 36 en 37;

k)  misbruik maakt van een gegevensbeschermingszegel of ‑merktekens in de zin van artikel 39;

l)  een gegevensdoorgifte naar een derde land of een internationale organisatie verricht, of opdracht daartoe geeft, die niet is toegestaan op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard of passende garanties of een afwijking overeenkomstig de artikelen 40 tot en met 44;

m)  een bevel of een tijdelijk of definitief verwerkingsverbod of een opschorting van gegevensstromen door de toezichthoudende autoriteit niet naleeft overeenkomstig artikel 53, lid 1;

n)  de verplichtingen inzake het assisteren van, het geven van antwoord of het verstrekken van relevante informatie aan, of het verlenen van toegang aan de toezichthoudende autoriteit tot gebouwen en terreinen niet naleeft overeenkomstig artikel 28, lid 3, artikel 29, artikel 34, lid 6, en artikel 53, lid 2;

o)  de voorschriften inzake het bewaren van het beroepsgeheim niet naleeft overeenkomstig artikel 84.

7.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen teneinde de absolute bedragen van de in de leden 4, 5 en 6 lid 2 bis bedoelde geldboeten te actualiseren, waarbij rekening houdend wordt gehouden met de in lid de leden  2 en 2 quater bedoelde criteria en factoren. [Am. 188]

HOOFDSTUK IX

BEPALINGEN IN VERBAND MET SPECIFIEKE SITUATIES OP HET GEBIED VAN GEGEVENSVERWERKING

Artikel 80

Verwerking van persoonsgegevens en vrijheid van meningsuiting

1.  De lidstaten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke en literaire doeleinden waar nodig in uitzonderingen op of afwijkingen van de bepalingen inzake de algemene beginselen in hoofdstuk II, de rechten van de betrokkenen in hoofdstuk III, de voor de verwerking verantwoordelijke en de verwerker in hoofdstuk IV, de doorgifte van persoonsgegevens naar derde landen en internationale organisaties in hoofdstuk V, de onafhankelijke toezichthoudende autoriteiten in hoofdstuk VI, en samenwerking en conformiteit in hoofdstuk VII en specifieke situaties op het gebied van gegevensverwerking in dit hoofdstuk, om het recht op bescherming van persoonsgegevens te verzoenen met de regels betreffende de vrijheid van meningsuiting in overeenstemming met het Handvest. [Am. 189]

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 80 bis

Toegang tot documenten

1.  Overheidsinstanties en openbare organen mogen persoonsgegevens in documenten die zij in hun bezit hebben, vrijgeven overeenkomstig het recht van de Unie of het recht van de lidstaat ten aanzien van het recht van toegang van het publiek tot officiële documenten dat het recht op de bescherming van persoonsgegevens verzoent met het beginsel van het recht van toegang van het publiek tot officiële documenten.

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan. [Am. 190]

Artikel 81

Verwerking van persoonsgegevens over gezondheid

1.  Binnen de grenzen van Overeenkomstig de in deze verordening en uiteengezette regels, in het bijzonder overeenkomstig artikel 9, lid 2, onder h), moeten verwerkingen van persoonsgegevens over gezondheid worden verricht op grond van het recht van de Unie of het recht van de lidstaat waarin passende, consequente en specifieke waarborgen voor de bescherming van de gerechtvaardigde belangen van de betrokkene en diens grondrechten zijn opgenomen, en moeten deze verwerkingen noodzakelijk zijn op voorwaarde dat deze noodzakelijk en evenredig zijn, en waarvan de gevolgen door de betrokkene kunnen worden voorzien:

a)  voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnose, het verstrekken van zorg of behandelingen of het beheren van gezondheidsdiensten, mits die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in het recht van de lidstaat, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige vertrouwelijkheidsplicht geldt; of

b)  om redenen van openbaar belang op het gebied van volksgezondheid, zoals de bescherming tegen ernstige grensoverschrijdende bedreigingen voor de gezondheid of het garanderen van hoge kwaliteits- en veiligheidsnormen, onder meer voor geneesmiddelen of medische hulpmiddelen, mits die gegevens worden verwerkt door een persoon die vertrouwelijkheid in acht moet nemen; of

c)  om andere redenen van openbaar belang op gebieden als sociale bescherming, vooral voor wat betreft het waarborgen van de kwaliteit en de rentabiliteit van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering en de verlening van gezondheidsdiensten. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang leidt er niet toe dat gegevens voor andere doeleinden worden verwerkt, tenzij de betrokkene hier toestemming voor geeft of op basis van het recht van de Unie of het recht van de lidstaat.

1 bis.  Indien de in onder a) tot en met c) van lid 1 bedoelde doeleinden ook zonder gebruikmaking van persoonsgegevens gerealiseerd kunnen worden, is het gebruik van dergelijke gegevens voor deze doeleinden verboden, tenzij op basis van de toestemming van de betrokkene of nationale wetgeving.

1 ter.  Wanneer de betrokkene toestemming moet geven voor de verwerking van medische gegevens uitsluitend voor wetenschappelijk onderzoek ten behoeve van de volksgezondheid, kan de toestemming worden gegeven voor een of meer specifieke en vergelijkbare onderzoeken. De betrokkene kan de toestemming echter te allen tijde intrekken.

1 quater.  Voor het geven van toestemming voor de deelname aan wetenschappelijke onderzoeksactiviteiten in klinische proeven zijn de relevante bepalingen van Richtlijn 2001/20/EG van het Europees Parlement en de Raad(21) van toepassing.

2.  De verwerking van persoonsgegevens over gezondheid die noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden, zoals patiëntenregisters om de diagnoses te verbeteren, soortgelijke typen ziekten te onderscheiden en studies voor therapieën voor te bereiden, is uitsluitend toegestaan met toestemming van de betrokkene en is onderworpen aan de in artikel 83 genoemde voorwaarden en waarborgen.

2 bis.  De lidstaten mogen uitzonderingen maken op de in lid 2 uiteengezette vereiste van toestemming voor onderzoeksdoeleinden als het om onderzoek van gewichtig algemeen belang gaat en dergelijk onderzoek niet op andere wijze kan worden uitgevoerd. De gegevens in kwestie worden anoniem gemaakt en indien dit gezien de aard van het onderzoek niet mogelijk is volgens de allerhoogste technische standaarden gepseudonimiseerd. Daarbij worden alle noodzakelijke maatregelen getroffen om het onmogelijk te maken dat de betrokkenen alsnog om ongegronde redenen worden geïdentificeerd. De betrokkene heeft echter het recht te allen tijde bezwaar te maken overeenkomstig artikel 19.

3.  De Commissie is bevoegd om, na advies te hebben ingewonnen bij het Europees Comité voor gegevensbescherming, overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de in lid 1, onder b), bedoelde andere redenen van openbaar belang op het gebied van volksgezondheid, en van de criteria en de vereisten voor de waarborgen voor de verwerking van persoonsgegevens voor de in lid 1 bedoelde doeleinden. het gewichtig algemeen belang op het gebied van onderzoek als bedoeld in lid 2 bis.

3 bis.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan. [Am. 191]

Artikel 82

Minimumnormen voor de verwerking van gegevens in het kader van de arbeidsverhouding

1.  Binnen de grenzen De lidstaten kunnen in overeenstemming met de bepalingen van deze verordening kunnen de lidstaten bij wet en met inachtneming van het proportionaliteitsbeginsel door middel van wettelijke bepalingen specifieke voorschriften vaststellen voor de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, met name, maar niet uitsluitend, met het oog op aanwerving en sollicitaties binnen de groep ondernemingen, de uitvoering van het arbeidscontract, met inbegrip van de naleving van wettelijke of uit en in collectieve overeenkomsten voortvloeiende vastgelegde verplichtingen, overeenkomstig de nationale wettelijke voorschriften en praktijken, en van verplichtingen die voortvloeien uit het beheer, de planning en de organisatie van de arbeid, en gezondheid en veiligheid op het werk, met het oog op de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en met het oog op de beëindiging van de arbeidsverhouding. De lidstaten kunnen de bepalingen van dit artikel nader invullen door middel van collectieve overeenkomsten.

1 bis.  Het doel van de verwerking van zulke gegevens moet verband houden met de reden waarom de gegevens werden vergaard en moet beperkt blijven tot het kader van de arbeidsverhouding. Profilering of gebruik voor secundaire doeleinden is niet toegestaan.

1 ter.  Toestemming van een werknemer biedt geen rechtsgrondslag voor verwerking van gegevens door de werkgever, indien deze toestemming niet vrijwillig is verleend.

1 quater.  Onverminderd de overige voorschriften van deze verordening wordt in de in lid 1 genoemde wettelijke voorschriften van de lidstaten ten minste rekening gehouden met de volgende minimumnormen:

a)  de verwerking van persoonsgegevens van werknemers zonder dat zij hiervan op de hoogte zijn, is verboden. Onverminderd het hierboven bepaalde kunnen de lidstaten bij wet en met inachtneming van passende termijnen voor het verwijderen van de gegevensbestanden dit verbod opheffen voor gevallen waarin aantoonbare werkelijke aanknopingspunten aanleiding geven tot de verdenking dat de werknemer waarmee een arbeidsverhouding bestaat een strafbaar feit heeft gepleegd of zich schuldig heeft gemaakt aan ernstig plichtsverzuim, het onderzoek van de gegevens noodzakelijk is om het feit aan het licht te brengen en de aard en de omvang van het onderzoek gezien het doel noodzakelijk en proportioneel zijn. De persoonlijke levenssfeer van de werknemer moet te allen tijde worden beschermd en zijn privacy geëerbiedigd. Het onderzoek wordt door de bevoegde autoriteit verricht;

b)  De toepassing van openlijk optisch-elektronisch en/of open akoestisch-elektronisch toezicht op de niet openbaar toegankelijke delen van het bedrijf die overwegend bedoeld zijn voor persoonlijk gebruik door de werknemers, met name ruimten voor sanitaire voorzieningen, omkleed-, pauze- en slaapruimten, is verboden. Een heimelijk toezicht is in ieder geval verboden;

c)  ondernemingen of autoriteiten die in het kader van medische onderzoeken en/of geschiktheidstests persoonsgegevens verzamelen en verwerken moeten de sollicitant of werknemer er vooraf van op de hoogte brengen waarvoor deze gegevens worden gebruikt en dienen ervoor te zorgen dat dezen na afloop van de tests de beschikking krijgen over deze gegevens en de resultaten, en desgewenst een uitleg over hun belang. Het verzamelen van gegevens voor genetische tests en analyses is principieel verboden;

d)  of en in welke omvang het gebruik van telefoon, e-mail, internet en andere telecommunicatiediensten ook voor particuliere doeleinden is toegestaan, kan in een collectieve overeenkomst worden geregeld. Als er geen regeling via een collectieve overeenkomst bestaat, maakt de werkgever rechtstreeks met de werknemer hierover een afspraak. Indien een particulier gebruik van bovengenoemde diensten is toegestaan, mogen de dataverkeersgegevens met name worden verwerkt ter waarborging van de dataveiligheid, het goede functioneren van telecommunicatienetwerken en telecommunicatiediensten en voor de afrekening.

Onverminderd het hierboven bepaalde kunnen de lidstaten bij wet en met inachtneming van passende termijnen voor het verwijderen van de gegevensbestanden dit verbod opheffen voor gevallen waarin aantoonbare werkelijke aanknopingspunten aanleiding geven tot de verdenking dat de werknemer waarmee een arbeidsverhouding bestaat een strafbaar feit heeft gepleegd of zich schuldig heeft gemaakt aan ernstig plichtsverzuim, het onderzoek van de gegevens noodzakelijk is om het feit aan het licht te brengen en de aard en de omvang van het onderzoek gezien het doel noodzakelijk en proportioneel zijn. De persoonlijke levenssfeer van de werknemer moet te allen tijde worden beschermd en zijn privacy geëerbiedigd. Het onderzoek wordt door de bevoegde autoriteit verricht;

e)  persoonsgegevens van werknemers, met name gevoelige gegevens zoals politieke overtuiging, een eventueel lidmaatschap van of een actieve rol in een vakbond, mogen onder geen beding worden gebruikt om werknemers op zogenoemde "zwarte lijsten" te plaatsen of hen door te lichten dan wel uit te sluiten van werk. De verwerking, het gebruik in de arbeidsverhouding, het opstellen en doorgeven van zwarte lijsten van werknemers of andere vormen van discriminatie zijn verboden. De lidstaten verrichten controles en stellen in overeenstemming met artikel 79, lid 6, passende sancties vast om een doeltreffende tenuitvoerlegging van dit punt te waarborgen.

1 quinquies.  Het is toegestaan dat wettelijk zelfstandige ondernemingen binnen een groep ondernemingen persoonsgegevens van werknemers aan elkaar doorgeven, ze verwerken en ze doorgeven voor een eventuele verwerking door juridisch en fiscaal adviseurs, mits dit een belang van de onderneming en de afwikkeling van voor een bepaald doel bestemde administratieve procedures dient en niet in strijd is met de belangen en de grondrechten van de werknemer die moeten worden beschermd. Op doorgifte van persoonsgegevens van werknemers naar een derde land en/of aan een internationale organisatie is hoofdstuk V van toepassing.

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 de leden 1 en 1 ter vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

3.  De Commissie is bevoegd om na advies te hebben ingewonnen bij het Europees Comité voor gegevensbescherming overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de waarborgen voor de verwerking van persoonsgegevens voor de in lid 1 bedoelde doeleinden. [Am. 192]

Artikel 82 bis

Verwerking voor socialezekerheidsdoeleinden

1.  De lidstaten kunnen overeenkomstig de regels in deze verordening specifieke voorschriften uitvaardigen met daarin de voorwaarden voor de verwerking van persoonsgegevens door hun overheidsinstellingen en -diensten voor socialezekerheidsdoeleinden indien uitgevoerd in het algemeen belang.

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de voorschriften mee die hij uit hoofde van lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan. [Am. 193]

Artikel 83

Verwerking voor historische, statistische en wetenschappelijke doeleinden

1.  Binnen de grenzen van In overeenstemming met de regels zoals uiteengezet in deze verordening mogen persoonsgegevens alleen voor historische, statistische of wetenschappelijke doeleinden worden verwerkt, wanneer:

a)  deze doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens waarmee de betrokkene niet of niet langer kan worden geïdentificeerd;

b)  gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie voor zover deze doeleinden op die manier kunnen worden bereikt volgens de allerhoogste technische standaarden, en alle noodzakelijke maatregelen worden getroffen om het onmogelijk te maken dat de betrokkenen alsnog om ongegronde redenen worden geïdentificeerd.

2.  Organen die historisch, statistisch of wetenschappelijk onderzoek verrichten, mogen persoonsgegevens alleen publiceren of op andere wijze bekendmaken, wanneer:

a)  de betrokkene onder de in artikel 7 gestelde voorwaarden daarvoor toestemming heeft gegeven;

b)  de publicatie van persoonsgegevens nodig is om de onderzoeksresultaten te presenteren of het onderzoek te vergemakkelijken, mits de belangen of de grondrechten en grondvrijheden van de betrokkene geen voorrang hebben boven deze belangen; of

c)  de betrokkene de gegevens heeft bekendgemaakt.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de verwerking van persoonsgegevens voor de in de leden 1 en 2 bedoelde doeleinden, van de nodige beperkingen van het recht op informatie en toegang van de betrokkene, en van de in die omstandigheden geldende voorwaarden en waarborgen voor de rechten van de betrokkene. [Am. 194]

Artikel 83 bis

Verwerking van persoonsgegevens door archiefdiensten

1.  Nadat de termijn die noodzakelijk is voor de verwezenlijking van de doeleinden van de oorspronkelijke verwerking waarvoor de persoonsgegevens werden verzameld, is verstreken, kunnen de persoonsgegevens worden verwerkt door archiefdiensten voor wie het verzamelen, bewaren, klasseren, ter beschikking stellen, exploiteren en verspreiden van archiefstukken in het algemeen belang de hoofdtaak of een wettelijke verplichting is, met name voor de verdediging van de rechten van personen of voor historische, statistische of wetenschappelijke doeleinden. Deze taken worden uitgevoerd in overeenstemming met de door de lidstaten vastgestelde regels inzake toegang tot en overdraagbaarheid en verspreiding van administratieve documenten of archiefstukken en in overeenstemming met de voorschriften zoals uiteengezet in deze verordening, met name met betrekking tot toestemming en het recht op bezwaar.

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan. [Am. 195]

Artikel 84

Geheimhoudingsplicht

1.  Binnen de grenzen van . Overeenkomstig de voorschriften in deze verordening kunnen zorgen de lidstaten ervoor dat er specifieke voorschriften vaststellen voor gelden waarin de in artikel 53, lid 2, bedoelde onderzoeksbevoegdheden bevoegdheden voor de toezichthoudende autoriteiten in verband met worden beschreven met betrekking tot de verwerking verantwoordelijken of verwerkers die op grond van het nationale recht of aan door nationale bevoegde instanties vastgestelde regelgeving onderworpen zijn aan een beroepsgeheim of een andere gelijkwaardige geheimhoudingsplicht, indien dit noodzakelijk en evenredig is om het recht op bescherming van persoonsgegevens te verzoenen met de geheimhoudingsplicht. Deze voorschriften zijn slechts van toepassing op persoonsgegevens die de voor de verwerking verantwoordelijke of de verwerker in het kader van een onder deze geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen. [Am. 196]

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de voorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 85

Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen

1.  Wanneer kerken en religieuze verenigingen of gemeenschappen in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening uitgebreide passende voorschriften betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens toepassen, kunnen dergelijke voorschriften van toepassing blijven, mits deze in overeenstemming worden gebracht met de bepalingen van deze verordening.

2.  Kerken en religieuze verenigingen die overeenkomstig lid 1 uitgebreide passende voorschriften toepassen, voorzien in de oprichting van een onafhankelijke toezichthoudende autoriteit ontvangen een advies over de verenigbaarheid overeenkomstig hoofdstuk VI van deze verordening. artikel 38. [Am. 197]

Artikel 85 bis

Eerbiediging van grondrechten

Deze verordening heeft niet tot gevolg dat de verplichting tot eerbiediging van de grondrechten en de fundamentele rechtsbeginselen, zoals die is neergelegd in artikel 6 van het VEU, wordt aangetast. [Am. 198]

Artikel 85 ter

Modelformulieren

1.  De Commissie kan, met inachtneming van de specifieke kenmerken en behoeften van diverse sectoren en situaties op het gebied van gegevensverwerking, modelformulieren vastleggen voor:

a)  specifieke methoden ter verkrijging van de in artikel 8, lid 1, bedoelde verifieerbare toestemming,

b)  de in artikel 12, lid 2, bedoelde mededeling, ook met betrekking tot het elektronische model,

c)  het verstrekken van de in de leden 1 tot en met 3 van artikel 14 bedoelde informatie,

d)  het verzoeken om en het verlenen van toegang tot de in artikel 15, lid 1, bedoelde informatie, met inbegrip van het meedelen van de persoonsgegevens aan de betrokkene,

e)  de in artikel 28, lid 1, bedoelde documentatie,

f)  het melden van inbreuken overeenkomstig artikel 31 aan de toezichthoudende autoriteiten en de in artikel 31, lid 4, bedoelde documentatie,

g)  de in artikel 34 bedoelde voorafgaande raadpleging, en voor het verstrekken van informatie aan de toezichthoudende autoriteiten overeenkomstig artikel 34, lid 6.

2.  Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en middelgrote ondernemingen.

3.  Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 199]

HOOFDSTUK X

GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN

Artikel 86

Uitoefening van de bevoegdheidsdelegatie

1.  De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel vastgestelde voorwaarden.

2.  De in artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 13 bis, lid 5, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 38, lid 4, artikel 39, lid 2, artikel 41, lid 3, artikel 41, lid 5, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 79, lid 7, artikel 81, lid 3, en artikel 82, lid 3, en artikel 83, lid 3, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van de datum van inwerkingtreding van deze verordening. [Am. 200]

3.  Het Europees Parlement of de Raad kan de in artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 13 bis, lid 5, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 38, lid 4, artikel 39, lid 2, artikel 41, lid 3, artikel 41, lid 5, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 79, lid 7, artikel 81, lid 3, en artikel 82, lid 3, en artikel 83, lid 3, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheiden. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet. [Am. 201]

4.  Zodra de Commissie een gedelegeerde handeling vaststelt, doet zij daarvan gelijktijdige kennisgeving aan het Europees Parlement en de Raad.

5.  Een overeenkomstig artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 13 bis, lid 5, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 38, lid 4, artikel 39, lid 2, artikel 41, lid 3, artikel 41, lid 5, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 79, lid 7, artikel 81, lid 3, en artikel 82, lid 3, en artikel 83, lid 3, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad binnen een termijn van twee zes maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van deze termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee zes maanden verlengd. [Am. 202]

Artikel 87

Comitéprocedure

1.  De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.  Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

3.  Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing. [Am. 203]

HOOFDSTUK XI

SLOTBEPALINGEN

Artikel 88

Intrekking van Richtlijn 95/46/EG

1.  Richtlijn 95/46/EG wordt ingetrokken.

2.  Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van Richtlijn 95/46/EG is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte Europees Comité voor gegevensbescherming.

Artikel 89

Verhouding tot en wijziging van Richtlijn 2002/58/EG

1.  Deze verordening legt natuurlijke of rechtspersonen geen aanvullende verplichtingen op met betrekking tot de verwerking van persoonsgegevens in verband met het verstrekken van openbare elektronischecommunicatiediensten in openbare communicatienetwerken in de Unie, voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.

2 Artikel 1, lid 2, en artikelen 4 en 15 van Richtlijn 2002/58/EG wordt worden geschrapt. [Am. 204]

2 bis.   De Commissie dient onverwijld en uiterlijk op de in artikel 91, lid 2, genoemde datum een voorstel in voor de herziening van het wetgevingskader betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, om het in overeenstemming te brengen met deze verordening en zo te zorgen voor consistente en homogene voorschriften met betrekking tot het grondrecht van de bescherming van persoonsgegevens in de Europese Unie. [Am. 205]

Artikel 89 bis

Verhouding tot en wijziging van Verordening (EG) nr. 45/2001

1.  De in deze verordening genoemde voorschriften zijn van toepassing op de verwerking van persoonsgegevens door de instellingen, organen, bureaus en agentschappen van de Unie met betrekking tot kwesties waarvoor zij niet onderworpen zijn aan de in Verordening (EG) nr. 45/2001 genoemde aanvullende voorschriften.

2.  De Commissie dient onverwijld en uiterlijk op de in artikel 91, lid 2, genoemde datum een voorstel in voor de herziening van het rechtskader voor de verwerking van persoonsgegevens door de instellingen, organen, bureaus en agentschappen van de Unie. [Am. 206]

Artikel 90

Evaluatie

De Commissie brengt op gezette tijden verslag uit aan het Europees Parlement en de Raad over de evaluatie en de toetsing van deze verordening. Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze verordening ingediend. Daarna worden de volgende verslagen om de vier jaar ingediend. Indien nodig dient de Commissie passende voorstellen in teneinde deze verordening te wijzigen en andere rechtsinstrumenten aan te passen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij. Deze verslagen worden gepubliceerd.

Artikel 91

Inwerkingtreding en toepassing

1.  Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2.  Zij is van toepassing met ingang van ...(22).

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te ...,

Voor het Europees Parlement Voor de Raad

De voorzitter De voorzitter

Bijlage - Voorstelling van de informatie als bedoeld in artikel 13 bis

1)  Met inachtneming van de verhoudingen in punt 6 wordt de informatie als volgt verstrekt:

2)  De volgende woorden in de rijen in de tweede kolom van de tabel in punt 1, met als titel "ESSENTIËLE INFORMATIE", worden vet gemaakt:

a)  het woord "verzameld" in de eerste rij van de tweede kolom;

b)  het woord "bewaard" in de tweede rij van de tweede kolom;

c)  het woord "verwerkt" in de derde rij van de tweede kolom;

d)  het woord "verspreid" in de vierde rij van de tweede kolom;

e)  de woorden "verkocht en verhuurd" in de vijfde rij van de tweede kolom;

f)  het woord "niet-versleutelde" in de zesde rij van de tweede kolom.

3)  Met inachtneming van de verhoudingen in punt 6, worden de rijen in de derde kolom van de tabel in punt 1, met als titel "OK", aangevuld met een van de volgende twee symbolen in overeenstemming met de voorwaarden in punt 4:

a)

b)

4)  

a)  Indien geen andere persoonsgegevens zijn verzameld dan de minimumgegevens die nodig zijn voor elk specifiek doeleinde van de verwerking, krijgt de eerste rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

b)  Indien andere persoonsgegevens zijn verzameld dan de minimumgegevens die nodig zijn voor elk specifiek doeleinde van de verwerking, krijgt de eerste rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

c)  Indien geen andere persoonsgegevens zijn bewaard dan de minimumgegevens die nodig zijn voor elk specifiek doeleinde van de verwerking, krijgt de tweede rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

d)  Indien andere persoonsgegevens zijn bewaard dan de minimumgegevens die nodig zijn voor elk specifiek doeleinde van de verwerking, krijgt de tweede rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

e)  Indien geen persoonsgegevens zijn verwerkt voor andere doeleinden dan de doeleinden waarvoor de gegevens zijn verzameld, krijgt de derde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

f)  Indien persoonsgegevens zijn verwerkt voor andere doeleinden dan de doeleinden waarvoor de gegevens zijn verzameld, krijgt de derde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

g)  Indien geen persoonsgegevens zijn verspreid onder commerciële derden, krijgt de vierde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

h)  Indien persoonsgegevens zijn verspreid onder commerciële derden, krijgt de vierde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

i)  Indien geen persoonsgegevens zijn verkocht of verhuurd, krijgt de vijfde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

j)  Indien persoonsgegevens zijn verkocht of verhuurd, krijgt de vijfde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

k)  Indien geen persoonsgegevens zijn bewaard in een niet-versleutelde vorm, krijgt de zesde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

l)  Indien persoonsgegevens zijn bewaard in een niet-versleutelde vorm, krijgt de zesde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

5)  De referentiekleuren van de symbolen in punt 1 in Pantone zijn Black Pantone nr. 7547 en Red Pantone nr. 485. De referentiekleur van het symbool in punt 3a in Pantone is Green Pantone nr. 370. De referentiekleur van het symbool in punt 3b in Pantone is Red Pantone nr. 485.

6)  De verhoudingen in de volgende gegradueerde afbeelding moeten worden aangehouden, ook wanneer de tabel wordt verkleind of vergroot:

[Am. 207]

(1) PB C 229 van 31.7.2012, blz. 90. (2) PB C 192 van 30.6.2012, blz. 7. (3) PB C 229 van 31.7.2012, blz. 90. (4) Standpunt van het Europees Parlement van 12 maart 2014. (5) PB C 192 van 30 juni 2012, blz. 7. (6) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31). (7) Aanbeveling van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36). (8) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1). (9) Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt ("Richtlijn inzake elektronische handel") (PB L 178van 17.7.2000, blz. 1). (10) Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29). (11) Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk (PB L 354 van 31.12.2008, blz. 70). (12) Richtlijn 2009/38/EG van het Europees Parlement en de Raad van 6 mei 2009 inzake de instelling van een Europese ondernemingsraad of van een procedure in ondernemingen of concerns met een communautaire dimensie ter informatie en raadpleging van de werknemers (PB L 122 van 16.5.2009, blz. 28). (13) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz.. 13). (14) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201van 31.7.2002, blz. 37). (15) PB L 176 van 10.7.1999, blz. 36. (16) PB L 53 van 27.2.2008, blz. 52. (17) PB L 160 van 18.6.2011, blz. 21. (18) Richtlijn 2004/18/EG van het Europees Parlement en de Raad van 31 maart 2004 betreffende de coördinatie van de procedures voor het plaatsen van overheidsopdrachten voor werken, leveringen en diensten (PB L 134 van 30.4.2004, blz. 114). (19) Richtlijn 2004/17/EG van het Europees Parlement en de Raad van 31 maart 2004 houdende coördinatie van de procedures voor het plaatsen van opdrachten in de sectoren water- en energievoorziening, vervoer en postdiensten (PB L 134 van 30.4.2004, blz. 1). (20) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43). (21) Richtlijn 2001/20/EG van het Europees Parlement en de Raad van 4 april 2001 betreffende de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toepassing van goede klinische praktijken bij de uitvoering van klinische proeven met geneesmiddelen voor menselijk gebruik (PB L 121van 1.5.2001, blz. 34). (22) Twee jaar na de inwerkingtreding van deze verordening.

Wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het ontwerp van verordening van de Raad waarbij de toepassing van Verordening (EU) nr. …/2012 tot vaststelling van een actieprogramma inzake uitwisselingen, bijstand en opleiding voor de bescherming van de euro tegen valsemunterij (het programma "Pericles 2020") wordt uitgebreid tot niet deelnemende lidstaten (16616/2013 – C7-0463/2013 – 2011/0446(APP))

P7_TA(2014)0213 A7-0152/2014

(Bijzondere wetgevingsprocedure – goedkeuring)

Het Europees Parlement,

–  gezien het ontwerp van verordening van de Raad (16616/2013),

–  gezien het verzoek om goedkeuring dat de Raad heeft ingediend krachtens artikel 352 van het Verdrag betreffende de werking van de Europese Unie (C7‑0463/2013),

–  gezien artikel 81, lid 1, eerste en derde alinea, van zijn Reglement,

–  gezien de aanbeveling van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (A7-0152/2014),

1.  hecht zijn goedkeuring aan het ontwerp van verordening van de Raad;

2.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad en aan de Commissie alsmede aan de nationale parlementen.

Wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het ontwerp van besluit van de Raad betreffende de sluiting van de Overeenkomst tussen de Europese Unie en de Republiek Azerbeidzjan inzake de versoepeling van de afgifte van visa (17846/2013 – C7-0078/2014 – 2013/0356(NLE))

P7_TA(2014)0214 A7-0155/2014

(Goedkeuring)

Het Europees Parlement,

–  gezien het ontwerp van besluit van de Raad (17846/2013),

–  gezien de ontwerpovereenkomst tussen de Europese Unie en de Republiek Azerbeidzjan inzake de versoepeling van de afgifte van visa (15554/2013),

–  gezien het verzoek om goedkeuring dat de Raad heeft ingediend krachtens artikel 77, lid 2, onder a), en artikel 218, lid 6, tweede alinea, onder a), van het Verdrag betreffende de werking van de Europese Unie (C7-0078/2014),

–  gezien artikel 81, lid 1, eerste en derde alinea, artikel 81, lid 2, en artikel 90, lid 7 van zijn Reglement,

–  gezien de aanbeveling van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en het advies van de Commissie buitenlandse zaken (A7-0155/2014),

1.  hecht zijn goedkeuring aan de sluiting van de overeenkomst;

2.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad en de Commissie, de regeringen en de parlementen van de lidstaten en de Republiek Azerbeidjan.

Wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het ontwerp van besluit van de Raad betreffende de sluiting van de Overeenkomst tussen de Europese Unie en de Republiek Azerbeidzjan inzake de overname van personen die zonder vergunning op het grondgebied verblijven (15596/2013 – C7-0079/2014 – 2013/0358(NLE))

P7_TA(2014)0215 A7-0154/2014

(Goedkeuring)

Het Europees Parlement,

–  gezien het ontwerp van besluit van de Raad (15596/2013),

–  gezien de ontwerpovereenkomst tussen de Europese Unie en de Republiek Azerbeidzjan inzake de overname van personen die zonder vergunning op het grondgebied verblijven (15594/2013),

–  gezien het verzoek om goedkeuring dat de Raad heeft ingediend krachtens artikel 79, lid 3, en artikel 218, lid 6, tweede alinea, onder a), van het Verdrag betreffende de werking van de Europese Unie (C7‑0079/2014),

–  gezien artikel 81, lid 1, eerste en derde alinea, artikel 81, lid 2, en artikel 90, lid 7, van zijn Reglement,

–  gezien de aanbeveling van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en het advies van de Commissie buitenlandse zaken (A7‑0154/2014),

1.  hecht zijn goedkeuring aan de sluiting van de overeenkomst;

2.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad en aan de Commissie, alsmede aan de regeringen en parlementen van de lidstaten en Republiek Azerbeidzjan.

Aanbeveling van het Europees Parlement aan de Raad van 12 maart 2014 over humanitaire betrokkenheid van gewapende niet-overheidsactoren bij kinderbescherming (2014/2012(INI))

P7_TA(2014)0216 A7-0160/2014

Het Europees Parlement,

–  gezien de ontwerpaanbeveling aan de Raad, ingediend door Catherine Grèze, Eva Joly, Isabella Lövin, Judith Sargentini, Bart Staes en Keith Taylor, namens de Verts/ALE-Fractie, over humanitaire betrokkenheid van gewapende niet-overheidsactoren bij kinderbescherming (B7-0585/2013),

–  gezien het verslag van de secretaris-generaal van de VN van 2013 inzake kinderen en gewapende conflicten en andere verslagen van betrokken actoren,

–  gezien de EU-richtsnoeren van 2008 over kinderen en gewapende conflicten, de uitvoeringsstrategie 2010 van de EU-richtsnoeren over kinderen en gewapende conflicten en de controlelijst van 2008 voor de opneming van de bescherming van door gewapende conflicten getroffen kinderen in EVDB-operaties,

–  gezien de conclusies van de Raad van 2008 betreffende "de bevordering en bescherming van de rechten van het kind in het externe optreden van de Europese Unie - de ontwikkelings- en humanitaire dimensie",

–  gezien zijn resoluties van 19 februari 2009 over een bijzondere plaats voor kinderen in het externe optreden van de EU(1), van 16 januari 2008 getiteld "Naar een EU-strategie voor de rechten van het kind"(2), van 3 juli 2003 over handel in kinderen en kindsoldaten(3), van 6 juli 2000 over de ontvoering van kinderen door het Verzetsleger van de Heer (LRA)(4) en van 17 december 1998 over kindsoldaten(5),

–  gezien de resoluties van de Verenigde Naties over de rechten van het kind, in het bijzonder resolutie 1612(2005) van de VN-Veiligheidsraad,

–  gezien het Facultatief Protocol II bij het Verdrag inzake de rechten van het kind van 2002, inzake de betrokkenheid van kinderen bij gewapende conflicten,

–  gezien de toezeggingen van Parijs ter bescherming van kinderen tegen onwettige aanwerving of inzet door strijdkrachten of gewapende groepen en de beginselen en richtsnoeren van Parijs over kinderen die verbonden zijn aan strijdkrachten of gewapende groepen, die beiden op 6 februari 2007 zijn aangenomen,

–  gezien artikel 121, lid 3, en artikel 97 van zijn Reglement,

–  gezien het verslag van zijn Commissie ontwikkelingssamenwerking (A7-0160/2014),

A.  overwegende dat in de meeste lopende gewapende conflicten een of meer gewapende niet-overheidsactoren zijn betrokken die vechten tegen overheden of andere gewapende groepen, en dat burgers en met name kinderen het bij deze oorlogen het zwaarst te verduren hebben;

B.  overwegende dat deze niet-overheidsactoren heel verscheiden van aard zijn en erg uiteenlopende motivaties hebben, en dat zij in verschillende mate bereid en in staat zijn het internationaal humanitair recht en andere internationale rechtsnormen te eerbiedigen;

C.  overwegende dat rekening moet worden gehouden met alle conflictpartijen, teneinde de bescherming van burgers, en met name kinderen, te verbeteren;

D.  overwegende dat internationale humanitaire normen gelden en bindend zijn voor alle partijen in een gewapend conflict;

E.  overwegende dat gewapende conflicten een bijzonder schadelijk effect hebben op de lichamelijke en geestelijke ontwikkeling van kinderen, met gevolgen op lange termijn voor de menselijke veiligheid en duurzame ontwikkeling;

F.  overwegende dat het Statuut van het Internationaal Strafhof strekt tot strafbaarstelling van het onder de wapenen roepen of het in militaire dienst nemen van kinderen beneden de leeftijd van vijftien jaar door gewapende strijdkrachten of groepen, of het gebruiken van deze kinderen voor actieve deelname aan vijandigheden;

G.  overwegende dat op grond van het internationaal recht alle vormen van seksueel geweld, ook tegen kinderen, zijn verboden, en dat daden van seksueel geweld als oorlogsmisdaden, misdaden tegen de menselijkheid of genocide kunnen worden beschouwd;

H.  overwegende dat het gebruik van antipersoneelmijnen is afgenomen sinds de aanneming van het Verdrag inzake het verbod van antipersoneelmijnen in 1997, maar nog altijd een bedreiging voor kinderen vormt, met name in gewapende conflicten zonder internationaal karakter;

I.  overwegende dat de internationale gemeenschap moreel verplicht is alle partijen die in conflicten zijn verwikkeld, met inbegrip van zowel staten als gewapende niet-overheidsactoren, ertoe te brengen toezeggingen te doen, teneinde kinderen te beschermen;

J.  overwegende dat de demobilisatie, rehabilitatie en re-integratie van kindsoldaten deel moeten uitmaken van alle vredesonderhandelingen en de daaruit voortvloeiende vredesovereenkomsten, en ook tijdens conflicten zelf op de agenda moeten worden gezet;

K.  overwegende dat een geslaagde demobilisatie en re-integratie van kindsoldaten kunnen bijdragen tot de voorkoming van een aanhoudende geweldsspiraal;

1.  doet de volgende aanbevelingen aan de commissaris voor Ontwikkeling en de vicevoorzitter van de Commissie / hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid:

2.  verzoekt zijn Voorzitter deze aanbeveling te doen toekomen aan de commissaris voor Ontwikkeling, de vicevoorzitter van de Commissie / hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, de Commissie, de Raad en de Europese Dienst voor extern optreden.

(1) PB C 76 E van 25.3.2010, blz. 3. (2) PB C 41 E van 19.2.2009, blz. 24. (3) PB C 74 E van 24.3.2004, blz. 854. (4) PB C 121 van 24.4.2001, blz. 401. (5) PB C 98 van 9.4.1999, blz. 297.

Besluit van het Europees Parlement van 12 maart 2014 over het aantal interparlementaire delegaties, delegaties in gemengde parlementaire commissies, delegaties in parlementaire samenwerkingscommissies en multilaterale parlementaire vergaderingen (2014/2632(RSO))

P7_TA(2014)0217 B7-0240/2014

Het Europees Parlement,

–  gezien het voorstel van de Conferentie van voorzitters,

–  gelet op de associatie- en samenwerkingsovereenkomsten en de andere overeenkomsten die de Europese Unie met derde landen heeft gesloten,

–  gezien de artikelen 198 en 200 van zijn Reglement,

A.  erop bedacht om via een permanente interparlementaire dialoog de parlementaire democratie te versterken;

1.  besluit het aantal delegaties en hun regionale groeperingen als volgt vast te stellen:

2.  besluit dat de op basis van economische partnerschapsovereenkomsten opgerichte parlementaire commissies uitsluitend samengesteld zullen zijn uit leden van de Commissie internationale handel en de Commissie ontwikkelingssamenwerking met waarborgen betreffende de leidende rol van de Commissie internationale handel als commissie ten principale en dat zij hun werkzaamheden actief moeten coördineren met de Paritaire Parlementaire Vergadering ACS-EU;

3.  besluit dat de Parlementaire Vergadering van de Unie voor het Middellandse Zeegebied, de Euro-Latijns-Amerikaanse Parlementaire Vergadering en de Parlementaire Vergadering Euronest uitsluitend samengesteld zullen zijn uit leden van de bilaterale of subregionale delegaties van elke Vergadering;

4.  besluit dat de Delegatie voor de betrekkingen met de Parlementaire Vergadering van de NAVO uitsluitend samengesteld zal zijn uit leden van de Subcommissie veiligheid en defensie;

5.  besluit dat de Conferentie van delegatievoorzitters een halfjaarlijks ontwerpvergaderrooster zal opstellen en dat de Conferentie van voorzitters, na raadpleging van de Commissie buitenlandse zaken, de Commissie ontwikkelingssamenwerking en de Commissie internationale handel, dit vergaderrooster zal goedkeuren, met dien verstande evenwel dat de Conferentie van voorzitters naar gelang van de politieke ontwikkelingen het rooster kan wijzigen;

6.  besluit dat de fracties en de niet-ingeschreven leden voor elk soort delegatie een aantal vaste plaatsvervangers zullen aanwijzen dat niet groter mag zijn dan het aantal vaste leden die de fracties en de niet-ingeschreven leden vertegenwoordigen;

7.  besluit de samenwerking met en de raadpleging van de commissies die bij de werkzaamheden van de delegaties betrokken zijn, te intensiveren door in de gebruikelijke vergaderplaatsen gezamenlijke vergaderingen van deze organen te beleggen;

8.  zal er in de praktijk tevens naar streven dat een of meerdere rapporteurs of voorzitters van de commissies eveneens aan de werkzaamheden van de delegaties, gemengde parlementaire commissies, parlementaire samenwerkingscommissies en gemengde parlementaire commissies mogen deelnemen; en besluit dat de Voorzitter op gezamenlijk verzoek van de voorzitters van de betrokken delegaties en parlementaire commissies zijn toestemming voor dergelijke missies zal verlenen;

9.  besluit dat dit besluit in werking zal treden tijdens de eerste vergaderperiode van de achtste zittingsperiode;

10.  verzoekt zijn Voorzitter dit besluit ter informatie te doen toekomen aan de Raad en de Commissie.

Resolutie van het Europees Parlement van 12 maart 2014 over de gedelegeerde verordening van de Commissie van 12 december 2013 tot wijziging van Verordening (EU) nr. 1169/2011 van het Europees Parlement en de Raad betreffende de verstrekking van voedselinformatie aan consumenten wat de definitie van "technisch vervaardigde nanomaterialen" betreft (C(2013)08887 – 2013/2997(DEA))

P7_TA(2014)0218 B7-0185/2014

Het Europees Parlement,

–  gezien de gedelegeerde verordening van de Commissie (C(2013)08887),

–  gezien artikel 290 van het Verdrag betreffende de werking van de Europese Unie,

–  gezien Verordening (EU) nr. 1169/2011 van het Europees Parlement en de Raad van 25 oktober 2011 betreffende de verstrekking van voedselinformatie aan consumenten(1), en met name artikel 2, lid 2, onder t), artikel 18, leden 3 en 5, en artikel 51, lid 5,

–  gezien het voorstel van de Commissie voor een verordening van het Europees Parlement en de Raad betreffende nieuwe voedingsmiddelen (COM(2013)0894),

–  gezien Verordening (EG) nr. 1333/2008 van het Europees Parlement en de Raad van 16 december 2008 inzake levensmiddelenadditieven(2),

–  gezien de lijsten van de Unie die zijn vastgesteld bij Verordening (EU) nr. 1129/2011 van de Commissie van 11 november 2011 tot wijziging van bijlage II bij Verordening (EG) nr. 1333/2008 van het Europees Parlement en de Raad door opstelling van een EU-lijst van levensmiddelenadditieven(3) en Verordening (EU) nr. 1130/2011 van de Commissie van 11 november 2011 tot wijziging van bijlage III bij Verordening (EG) nr. 1333/2008 van het Europees Parlement en de Raad inzake levensmiddelenadditieven door de opstelling van een EU-lijst van voor van voor gebruik in levensmiddelenadditieven, voedingsenzymen, levensmiddelenaroma’s en voedingsstoffen goedgekeurde levensmiddelenadditieven(4),

–  gezien Verordening (EU) nr. 257/2010 van de Commissie van 25 maart 2010 tot vaststelling van een programma voor de herbeoordeling van goedgekeurde levensmiddelenadditieven overeenkomstig Verordening (EG) nr. 1333/2008 van het Europees Parlement en de Raad inzake levensmiddelenadditieven(5),

–  gezien de ontwerpresolutie van de Commissie milieubeheer, volksgezondheid en voedselveiligheid,

–  gezien artikel 87 bis, lid 3, van zijn Reglement,

A.  overwegende dat in artikel 18, lid 3, van Verordening (EU) nr. 1169/2011 betreffende de verstrekking van voedselinformatie aan consumenten (Regulation on Food Information to Consumers - FIC-verordening) is bepaald dat elk ingrediënt dat in de vorm van technisch vervaardigd nanomateriaal in een product is verwerkt, duidelijk in de lijst van ingrediënten dient te worden vermeld, met het oog op de informatievoorziening van de consument; overwegende dat de FIC-verordening tevens voorziet in een definitie van "technisch vervaardigde nanomaterialen";

B.  overwegende dat artikel 18, lid 5, van de FIC-verordening de Commissie de bevoegdheid verleent om, middels gedelegeerde handelingen, de in de betreffende verordening vervatte definitie van "technisch vervaardigde nanomaterialen" te wijzigen en aan te passen aan de technische en wetenschappelijke vooruitgang of aan de internationaal overeengekomen definities, een en ander met het oog op de verwezenlijking van de doelstellingen van die verordening;

C.  overwegende dat Aanbeveling 2011/696/EU van de Commissie een algemene definitie van nanomaterialen geeft;

D.  overwegende dat in Verordening (EU) nr. 1129/2011 en Verordening (EU) nr. 1130/2011 van de Commissie uitgebreide EU-lijsten zijn vastgesteld met de levensmiddelenadditieven die vóór de inwerkingtreding van Verordening (EG) nr. 1333/2008 mochten worden gebruikt na toetsing of zij met de bepalingen van deze verordening in overeenstemming waren;

E.  overwegende dat de gedelegeerde verordening van de Commissie alle levensmiddelenadditieven die in de EU-lijsten zijn opgenomen uitsluit van de nieuwe definitie van "technisch vervaardigd nanomateriaal" en in plaats daarvan voorstelt de behoefte aan specifieke nanogerelateerde etiketteringsvoorschriften te regelen in het kader van het herbeoordelingsprogramma overeenkomstig Verordening (EU) nr. 257/2010 van de Commissie door, indien nodig, de gebruiksvoorwaarden van bijlage II bij Verordening (EG) nr. 1333/2008 en de in Verordening (EU) nr. 231/2012 van de Commissie vastgestelde specificaties van deze levensmiddelenadditieven te wijzigen(6);

F.  overwegende dat het momenteel juist levensmiddelenadditieven zijn die wellicht als nanomaterialen in voedingsmiddelen aanwezig zijn;

G.  overwegende dat deze algehele vrijstelling de etiketteringsvoorschriften voor alle levensmiddelenadditieven die technisch vervaardigde nanomaterialen zijn, tenietdoet; overwegende dat dit de nuttige werking van de wet ondermijnt en in strijd is met de fundamentele doelstelling van de richtlijn om een hoog niveau van bescherming van de gezondheid en de belangen van consumenten te waarborgen door de eindverbruikers een basis te verschaffen voor het maken van goed doordachte keuzes;

H.  overwegende dat de Commissie deze algehele vrijstelling voor alle bestaande levensmiddelenadditieven rechtvaardigt door te stellen dat "de vermelding van dergelijke levensmiddelenadditieven in de lijst van ingrediënten gevolgd door het woord "nano" tussen haakjes de consument in verwarring zou kunnen brengen, daar ermee gesuggereerd zou kunnen worden dat deze additieven nieuw zijn, terwijl zij in werkelijkheid reeds decennia lang in diezelfde vorm in levensmiddelen worden gebruikt";

I.  overwegende dat deze rechtvaardiging onjuist en irrelevant is, aangezien de FIC-verordening niet voorziet in een onderscheid tussen bestaande en nieuwe nanomaterialen, maar expliciet etikettering vereist voor alle ingrediënten die in de vorm van technisch vervaardigde nanomaterialen in producten zijn verwerkt;

J.  overwegende dat het verklaarde voornemen van de Commissie om de behoefte aan specifieke nanogerelateerde etiketteringsvoorschriften met betrekking tot in de EU‑lijsten opgenomen levensmiddelenadditieven te regelen in het kader van het herbeoordelingsprogramma ongepast is, aangezien veiligheidsaangelegenheden hierbij verward worden met algemene etiketteringsvoorschriften om consumenten van informatie te voorzien; overwegende dat hiermee eveneens wordt gesuggereerd dat de Commissie de noodzaak van specifieke nano-etikettering helemaal in twijfel trekt, hetgeen een inbreuk zou betekenen op artikel 18, lid 3, van de FIC-verordening, ongeacht of een levensmiddelenadditief een nanomateriaal is of niet, en dat deze etiketteringsvoorschriften moeten worden toegepast voor alle goedgekeurde levensmiddelenadditieven die nanomaterialen zijn, ongeacht de gebruiksomstandigheden of andere specificaties;

K.  overwegende dat het voorts onaanvaardbaar is om te verwijzen naar een niet-gerelateerd herbeoordelingsprogramma dat reeds bestond op het moment dat de wetgever besloot om expliciete etiketteringsvoorschriften op te nemen in de FIC-verordening, in een poging deze etiketteringsvoorschriften drie jaar later ongedaan te maken;

1.  maakt bezwaar tegen de gedelegeerde verordening van de Commissie;

2.  is van mening dat de gedelegeerde verordening van de Commissie niet strookt met de doelstelling en inhoud van Verordening (EU) nr. 1169/2011 en dat zij de gedelegeerde bevoegdheden die krachtens die verordening aan de Commissie zijn toegekend, overstijgt;

3.  verzoekt de Commissie een nieuwe gedelegeerde handeling in te dienen waarin rekening wordt gehouden met het standpunt van het Parlement;

4.  verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Commissie en haar ervan in kennis te stellen dat de gedelegeerde verordening niet in werking kan treden;

5.  verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad en aan de regeringen en parlementen van de lidstaten.

(1) PB L 304 van 22.11.2011, blz. 18. (2) PB L 354 van 31.12.2008, blz. 16. (3) PB L 295 van 12.11.2011, blz. 1. (4) PB L 295 van 12.11.2011, blz. 178. (5) PB L 80 van 26.3.2010, blz. 19. (6) Verordening (EU) nr. 231/2012 van de Commissie van 9 maart 2012 tot vaststelling van de specificaties van de in de bijlagen II en III bij Verordening (EG) nr. 1333/2008 van het Europees Parlement en de Raad opgenomen levensmiddelenadditieven (PB L 83 van 22.3.2012, blz. 1).

Wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

P7_TA(2014)0219 A7-0403/2013

(Gewone wetgevingsprocedure: eerste lezing)

Het Europees Parlement,

–  gezien het voorstel van de Commissie aan het Europees Parlement en de Raad (COM(2012)0010),

–  gezien artikel 294, lid 2, en artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie, op grond waarvan het voorstel door de Commissie bij het Parlement is ingediend (C7-0024/2012),

–  gezien artikel 294, lid 3, van het Verdrag betreffende de werking van de Europese Unie,

–  gezien de gemotiveerde adviezen die in het kader van protocol nr. 2 betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid zijn uitgebracht door de Duitse Bondsraad en de Zweedse Rijksdag, en waarin wordt gesteld dat het ontwerp van wetgevingshandeling niet strookt met het subsidiariteitsbeginsel,

–  gezien het advies van 7 maart 2012 van de Europese Toezichthouder voor gegevensbescherming(1),

–  gezien het advies van 1 oktober 2012 van het Bureau van de Europese Unie voor de grondrechten,

–  gezien artikel 55 van zijn Reglement,

–  gezien het verslag van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en het advies van de Commissie juridische zaken (A7-0403/2013),

1.  stelt onderstaand standpunt in eerste lezing vast;

2.  verzoekt om hernieuwde voorlegging aan het Parlement indien de Commissie voornemens is ingrijpende wijzigingen in dit voorstel aan te brengen of dit door een nieuwe tekst te vervangen;

3.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad, de Commissie en de nationale parlementen.

Standpunt van het Europees Parlement in eerste lezing vastgesteld op 12 maart 2014 met het oog op de vaststelling van Richtlijn 2014/.../EU van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van de Europese Toezichthouder voor gegevensbescherming(2),

Handelend volgens de gewone wetgevingsprocedure(3),

Overwegende hetgeen volgt:

(1)  De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie ("het Handvest") en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie heeft eenieder het recht op bescherming van hun persoonsgegevens. Artikel 8, lid 2, van het Handvest bepaalt dat deze gegevens moeten worden verwerkt op een eerlijke wijze, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere rechtmatige en in de wet vastgelegde grondslag. [Am. 1]

(2)  De verwerking van persoonsgegevens staat ten dienste van de mens; de beginselen en voorschriften betreffende de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens dienen, ongeacht de nationaliteit of de verblijfplaats van de betrokkenen, hun fundamentele rechten en vrijheden te eerbiedigen, en in het bijzonder hun recht op bescherming van hun persoonsgegevens. Hiermee dient te worden bijgedragen tot de totstandkoming van een gebied van vrijheid, veiligheid en recht.

(3)  Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is spectaculair gestegen. Door technologie kunnen bevoegde autoriteiten bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens.

(4)  Dit maakt het noodzakelijk Hiertoe moet, voor zover dat noodzakelijk en evenredig is, het vrije verkeer van gegevens tussen bevoegde autoriteiten binnen de Unie en de doorgifte naar derde landen en internationale organisaties te vergemakkelijken en daarbij vergemakkelijkt worden, waarbij een hoge mate van bescherming van persoonsgegevens te garanderen gegarandeerd wordt. Deze ontwikkelingen maken het noodzakelijk in de Unie een solide en coherenter kader voor de bescherming van persoonsgegevens tot stand te brengen, ondersteund met robuuste handhaving. [Am. 2]

(5)  Richtlijn 95/46/EG van het Europees Parlement en de Raad(4) is van toepassing op alle gegevensverwerkingsactiviteiten in de lidstaten, zowel bij de overheid als in de particuliere sector. Die richtlijn is echter niet van toepassing op de verwerking van persoonsgegevens “die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt”, zoals in het kader van activiteiten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(6)  Kaderbesluit 2008/977/JBZ van de Raad(5) is van toepassing op justitiële samenwerking in strafzaken en politiële samenwerking. Het toepassingsgebied van dat kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden doorgegeven of beschikbaar gesteld tussen lidstaten.

(7)  Het is voor een doeltreffende justitiële samenwerking in strafzaken en een doeltreffende politiële samenwerking van het allergrootste belang dat een consequent en hoog niveau van bescherming van de persoonsgegevens van natuurlijke personen wordt gewaarborgd en dat de uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten van de lidstaten wordt vergemakkelijkt. Daartoe moet in alle lidstaten worden voorzien in een gelijkwaardig niveau van bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking van de rechten van de betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken, maar ook gelijke bevoegdheden inzake toezicht en handhaving van de voorschriften inzake de bescherming van persoonsgegevens in de lidstaten. [Am. 3]

(8)  Overeenkomstig artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie dienen het Europees Parlement en de Raad de voorschriften vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die hun gegevens. [Am. 4]

(9)  Op die basis worden bij Verordening (EU) nr. …/2014 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming) algemene voorschriften vastgesteld om de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens in de Unie te waarborgen.

(10)  In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de politiële en justitiële samenwerking in strafzaken, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16 van het Verdrag betreffende de werking van de Europese Unie nodig zouden kunnen blijken.

(11)  In een afzonderlijke specifieke richtlijn dient derhalve rekening te worden gehouden met de specifieke aard van deze gebieden en dienen voorschriften te worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. [Am. 5]

(12)  Teneinde voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau te waarborgen door middel van wettelijk afdwingbare rechten en te voorkomen dat verschillen de uitwisseling van persoonsgegevens tussen bevoegde autoriteiten hinderen, dient de richtlijn te voorzien in geharmoniseerde voorschriften betreffende de bescherming en het vrije verkeer van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(13)  Deze richtlijn biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde voorschriften rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten.

(14)  De bescherming die door deze richtlijn wordt geboden, dient betrekking te hebben op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens.

(15)  De bescherming van natuurlijke personen dient technologieneutraal te zijn en niet afhankelijk te zijn van de gebruikte technieken; anders zou een ernstig gevaar van ontduiking ontstaan. De bescherming van natuurlijke personen dient zowel te gelden bij geautomatiseerde verwerking van persoonsgegevens als bij niet-geautomatiseerde verwerking daarvan, indien de gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand. Dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn, dienen niet onder het toepassingsgebied van deze richtlijn te vallen. Deze richtlijn dient niet van toepassing te zijn op de verwerking van persoonsgegevens in het kader van activiteiten die buiten het toepassingsgebied van het Unierecht vallen, met name in verband met de nationale veiligheid, of op gegevens die worden verwerkt door instellingen, organen, bureaus en agentschappen van de Unie, zoals Europol of Eurojust. Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad(6), en specifieke juridische instrumenten die van toepassing zijn op agentschappen, organen of bureaus, dienen in overeenstemming te worden gebracht met deze richtlijn en in overeenstemming met deze richtlijn worden toegepast. [Am. 6]

(16)  De beschermingsbeginselen moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een natuurlijke persoon identificeerbaar is, dienen alle middelen in aanmerking te worden genomen waarvan redelijkerwijs te verwachten is dat zij door de voor de verwerking verantwoordelijke of door een andere persoon worden gebruikt om de persoon te identificeren of te onderscheiden. De beschermingsbeginselen dienen niet van toepassing te zijn op gegevens die zodanig zijn geanonimiseerd dat de persoon op wie die gegevens betrekking hebben, niet meer identificeerbaar is. Deze richtlijn dient niet van toepassing te zijn op anonieme gegevens, dat wil zeggen gegevens die direct of indirect, alleen of in combinatie met bijbehorende gegevens niet in verband kunnen worden gebracht met een natuurlijke persoon. Gezien het belang van de actuele ontwikkelingen in de informatiemaatschappij inzake de technieken voor het opvangen, doorsturen, manipuleren, registreren, bewaren of mededelen van gegevens betreffende de verblijfplaats van natuurlijke personen, die voor verschillende doeleinden gebruikt kunnen worden, zoals toezicht of het creëren van profielen, moet deze richtlijn ook van toepassing zijn op verwerkingen die op deze persoonsgegevens betrekking hebben. [Am. 7]

(16 bis)  Elke verwerking van persoonsgegevens dient ten opzichte van de betrokkenen eerlijk, rechtmatig en transparant te geschieden. Met name dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt expliciet en rechtmatig te zijn en te zijn vastgesteld bij het verzamelen van de persoonsgegevens. Deze persoonsgegevens dienen adequaat, ter zake dienend te zijn en beperkt te blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt. Dit betekent in het bijzonder dat de verzamelde gegevens en de periode gedurende welke de gegevens worden opgeslagen tot een strikt minimum moeten worden beperkt. Persoonsgegevens dienen alleen te worden verwerkt indien het doeleinde van de verwerking niet op andere wijze kan worden verwezenlijkt. Alle redelijke maatregelen moeten worden genomen om te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan nodig is, dient de voor de verwerking verantwoordelijke termijnen vast te stellen voor het wissen van persoonsgegevens of voor een periodieke toetsing. [Am. 8]

(17)  Onder persoonsgegevens betreffende de gezondheid dienen met name alle gegevens te vallen die betrekking hebben op de gezondheidstoestand van de betrokkene, informatie over de registratie van de persoon voor de verlening van gezondheidsdiensten, informatie over betalingen of voorwaarden voor gezondheidszorg met betrekking tot de persoon, een aan een persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die persoon voor gezondheidsdoeleinden geldt, informatie over een persoon die is verzameld bij de verlening van gezondheidszorg aan die persoon, informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van biologische monsters, de identificatie van een persoon als verstrekker van gezondheidszorg aan de betrokkene, of informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de feitelijke fysiologische of biomedische staat van de betrokkene, ongeacht de bron van die informatie, zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnose.

(18)  Elke verwerking van persoonsgegevens dient ten aanzien van de betrokkenen eerlijk en rechtmatig te geschieden. In het bijzonder dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt, uitdrukkelijk te worden vermeld. [Am. 9]

(19)  Met het oog op de voorkoming, het onderzoek en de vervolging van strafbare feiten is het noodzakelijk dat de bevoegde autoriteiten persoonsgegevens die zij in het kader van de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten hebben verzameld, ook buiten dat kader bewaren en bewerken, teneinde een beeld te krijgen van criminele verschijnselen en trends, inlichtingen te verzamelen over georganiseerde criminele netwerken en verbanden te leggen tussen verschillende opgespoorde strafbare feiten. [Am. 10]

(20)  Persoonsgegevens dienen niet te worden verwerkt voor doeleinden die onverenigbaar zijn met het doel waarvoor zij zijn verzameld. De persoonsgegevens dienen adequaat, ter zake dienend en niet excessief zijn in verhouding tot het doel waarvoor zij worden verwerkt. Alle redelijke maatregelen moeten worden genomen om te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. [Am. 11]

(20 bis)  Het feit alleen dat twee doeleinden beide betrekking hebben op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen heeft niet noodzakelijkerwijs tot gevolg dat zij met elkaar verenigbaar zijn. Er zijn echter gevallen waarin verdere verwerking voor onverenigbare doeleinden mogelijk moet zijn als deze noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan de voor de verwerking verantwoordelijke is onderworpen, om de vitale belangen van de betrokkene of een andere persoon te beschermen of om een onmiddellijke en ernstige bedreiging van de openbare veiligheid af te wenden. De lidstaten moeten derhalve in staat zijn nationale wetten aan te nemen waarin dergelijke uitzonderingen worden geregeld, voor zover zulks strikt noodzakelijk is. Dergelijke nationaal recht moet passende waarborgen bevatten. [Am. 12]

(21)  Het beginsel van juistheid van de gegevens moet worden toegepast in het licht van de aard en het doel van de betreffende verwerking. In het bijzonder bij gerechtelijke procedures zijn verklaringen die persoonsgegevens bevatten, gebaseerd op de subjectieve perceptie van personen en in sommige gevallen niet geheel te verifiëren. Het vereiste van juistheid dient derhalve geen betrekking te hebben op de juistheid van een verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd.

(22)  Bij de interpretatie en de toepassing van de algemene beginselen betreffende de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, dient rekening te worden gehouden met de specifieke kenmerken van de sector, waaronder de specifiek nagestreefde doelen. [Am. 13]

(23)  De verwerking van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking brengt met zich mee dat persoonsgegevens betreffende verschillende categorieën betrokkenen worden verwerkt. Daarom dient zo veel mogelijk een onderscheid te worden gemaakt tussen persoonsgegevens betreffende verschillende categorieën betrokkenen, zoals verdachten, personen die zijn veroordeeld wegens een strafbaar feit, slachtoffers en derden, zoals getuigen, personen die over relevante informatie beschikken of personen die contact hebben of banden onderhouden met verdachten en veroordeelde misdadigers. De lidstaten dienen specifieke voorschriften vast te stellen met betrekking tot de gevolgen van deze categorisering, waarbij zij rekening houden met de verschillende doeleinden waarvoor gegevens worden verzameld en waarbij zij voorzien in specifieke waarborgen voor personen die niet verdacht worden van, of niet veroordeeld zijn wegens een strafbaar feit. [Am. 14]

(24)  Voor zover mogelijk dienen persoonsgegevens te worden onderscheiden naar de mate van juistheid en betrouwbaarheid. Feiten dienen te worden onderscheiden van persoonlijke oordelen, zowel om personen te beschermen als om de kwaliteit en betrouwbaarheid van door de bevoegde autoriteiten verwerkte informatie te waarborgen.

(25)  Om rechtmatig te zijn dient de verwerking van persoonsgegevens enkel dan te worden toegestaan wanneer zij noodzakelijk is om aan een wettelijke verplichting voor de voor de verwerking verantwoordelijke te voldoen, voor het uitvoeren van een taak van algemeen belang door een bevoegde autoriteit overeenkomstig het wet, om de vitale belangen van de betrokkene of van een andere persoon te beschermen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden recht van de Unie of het recht van een lidstaat, dat uitdrukkelijk omschreven en gedetailleerde bepalingen moet omvatten, op zijn minst ten aanzien van de doelstellingen, de persoonsgegevens, de specifieke doeleinden en middelen op basis waarvan de voor de verwerking verantwoordelijke wordt of kan worden aangewezen en de te volgen procedures, het gebruik en de beperkingen van de werkingssfeer van bevoegdheden die aan de bevoegde autoriteiten worden toegekend met betrekking tot verwerkingsactiviteiten. [Am. 15]

(25 bis)  Persoonsgegevens dienen niet te worden verwerkt voor doeleinden die onverenigbaar zijn met het doel waarvoor zij zijn verzameld. Voor verdere verwerking door bevoegde autoriteiten voor doelen die binnen de werkingssfeer van deze richtlijn vallen en die niet verenigbaar zijn met het oorspronkelijke doel mag uitsluitend toestemming worden verleend in specifieke gevallen waarin een dergelijke verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting van de voor de verwerking verantwoordelijke op grond van het recht van de Unie of het recht van een lidstaat, dan wel om de vitale belangen van de betrokkene of van een andere persoon te beschermen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden. Het feit dat gegevens worden verwerkt met het oog op rechtshandhaving betekent niet per definitie dat het betreffende doel verenigbaar is met het oorspronkelijke doel. Het concept van verenigbaar gebruik moet restrictief worden uitgelegd. [Am. 16]

(25 ter)  Persoonsgegevens die worden verwerkt in strijd met de overeenkomstig deze richtlijn vastgestelde nationale bepalingen, mogen niet verder worden verwerkt. [Am. 17]

(26)  Persoonsgegevens die door hun aard bijzonder gevoelig en kwetsbaar zijn uit het oogpunt van de grondrechten of de persoonlijke levenssfeer, waaronder genetische gegevens, verdienen specifieke bescherming. Dergelijke gegevens dienen niet te worden verwerkt, tenzij de verwerking uitdrukkelijk is toegestaan specifiek noodzakelijk is voor de vervulling van een taak van algemeen belang, op grond van het recht van de Unie of het recht van een lidstaat die in waarbij passende maatregelen voorziet om worden vastgesteld ter bescherming van de grondrechten en de gerechtvaardigde belangen van de betrokkene te beschermen, de verwerking noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of een andere persoon, of de verwerking betrekking heeft op gegevens die kennelijk door de betrokkene openbaar zijn gemaakt. Gevoelige persoonsgegevens dienen uitsluitend te worden verwerkt als zij andere persoonsgegevens aanvullen die reeds met het oog op rechtshandhaving zijn verwerkt. Elke uitzondering op het verbod van verwerking van gevoelige gegevens moet restrictief worden uitgelegd en mag niet leiden tot frequente, massale of structurele verwerking van gevoelige gegevens. [Am. 18]

(26 bis)  De verwerking van genetische gegevens dient slechts te zijn toegestaan als er in de loop van een strafrechtelijk onderzoek of een gerechtelijke procedure een genetische link blijkt te zijn. Genetische gegevens mogen uitsluitend zolang als strikt noodzakelijk is voor zulke onderzoeken of procedures worden bewaard, waarbij lidstaten de mogelijkheid hebben om een langere opslagduur toe te staan overeenkomstig de in deze richtlijn bepaalde voorwaarden. [Am. 19]

(27)  Iedere natuurlijke persoon dient het recht te hebben niet te worden onderworpen aan een maatregel die uitsluitend is gebaseerd op gedeeltelijke of volledige profilering door middel van geautomatiseerde verwerking is gebaseerd, indien die verwerking Een dergelijke verwerking die voor die persoon ongunstige rechtsgevolgen heeft of die wezenlijke consequenties voor hem heeft, moet worden verboden, tenzij de verwerking wettelijk is toegestaan en vergezeld gaat van passende maatregelen om de grondrechten en gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het recht betekenisvolle informatie te krijgen over de bij de profilering gebruikte logica. Een dergelijke verwerking mag in geen geval bijzondere categorieën gegevens omvatten of genereren, of onderscheid maken op grond van dergelijke bijzondere categorieën gegevens. [Am. 20]

(28)  Informatie die bestemd is voor de betrokkene dient eenvoudig toegankelijk en begrijpelijk te zijn en in duidelijke en eenvoudige taal te worden gesteld, teneinde de betrokkene in staat te stellen zijn rechten te doen gelden. Deze informatie dient te worden aangepast aan de behoeften van de betrokkene, in het bijzonder indien de informatie specifiek voor kinderen bestemd is. [Am. 21]

(29)  Er dienen procedures te worden vastgesteld om de betrokkene in staat te stellen zijn rechten uit hoofde van deze richtlijn uit te oefenen, zoals mechanismen waarmee de betrokkene kan verzoeken om met name toegang tot gegevens, het wissen van gegevens en uitoefening van het recht van bezwaar, zonder dat daaraan kosten mogen worden verbonden. De voor de verwerking verantwoordelijke dient verplicht te zijn om zonder onnodige vertraging op verzoeken en binnen een maand na ontvangst van het verzoek van de betrokkene te reageren. Wanneer persoonsgegevens geautomatiseerd worden verwerkt, dient de voor de verwerking verantwoordelijke ook de middelen ter beschikking te stellen om verzoeken elektronisch in te dienen. [Am. 22]

(30)  Het beginsel van eerlijke en transparante verwerking vereist in dat de betrokkene met name wordt meegedeeld dat de verwerking plaatsvindt en met welk doel, op welke rechtsgrondslag, hoe lang de gegevens worden opgeslagen, dat hij het recht van toegang, rectificatie en uitwissing heeft en dat hij het recht heeft om een klacht in te dienen. Voorts dient de betrokkene te worden geïnformeerd wanneer van profilering gebruik wordt gemaakt en van de daarmee beoogde gevolgen. Indien de gegevens van de betrokkene moeten worden verkregen, dient hem of haar te worden meegedeeld of hij of zij verplicht is de gegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. [Am. 23]

(31)  De informatie over de verwerking van persoonsgegevens betreffende de betrokkene moet hem of haar worden meegedeeld bij het verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene zijn verkregen, op het moment van registratie van de gegevens of binnen redelijke tijd na het verzamelen ervan, met inachtneming van de specifieke omstandigheden waarin de gegevens worden verwerkt.

(32)  Eenieder dient over het recht te beschikken om toegang te verkrijgen tot de gegevens die betreffende hem of haar zijn verzameld en dit recht eenvoudig te kunnen uitoefenen, zodat hij zich van de verwerking op de hoogte kan stellen en zich van de rechtmatigheid ervan kan vergewissen. Elke betrokkene dient er dan ook recht op te hebben, te weten en te worden meegedeeld voor welke doeleinden de gegevens met name worden verwerkt, wat de rechtsgrondslag is, hoe lang zij de gegevens worden bewaard, welke ontvangers de gegevens ontvangen, ook waar het ontvangers in derde landen betreft, begrijpelijke informatie over de logica die aan de geautomatiseerde gegevensverwerking ten grondslag ligt, in voorkomend geval, de belangrijke en de verwachte gevolgen daarvan, en het recht om een klacht in te dienen bij de toezichthoudende autoriteit en de contactgegevens van de toezichthoudende autoriteit te ontvangen. Betrokkenen dienen de mogelijkheid te hebben een kopie te ontvangen van de hen betreffende persoonsgegevens die worden verwerkt. [Am. 24]

(33)  De lidstaten dienen te beschikken over de mogelijkheid om wettelijke maatregelen vast te stellen om de informatieverstrekking aan de betrokkenen of de toegang tot hun persoonsgegevens uit te stellen, of te beperken of achterwege te laten, voor zover en zolang die gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke en evenredige maatregel is om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen, om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen, om de openbare veiligheid of de nationale veiligheid te beschermen, of om de betrokkene of de rechten en vrijheden van anderen te beschermen. De voor de verwerking verantwoordelijke moet door middel van een concreet en individueel onderzoek van elk geval afzonderlijk beoordelen of een gedeeltelijke dan wel gehele beperking van het recht op toegang moet worden toegepast. [Am. 25]

(34)  Iedere weigering of beperking van de toegang dient schriftelijk aan de betrokkene te worden toegelicht, met vermelding van de feitelijke of juridische gronden die aan het besluit ten grondslag liggen.

(34 bis)  Elke beperking van de rechten van de betrokkene moet in overeenstemming zijn met het Handvest en met het Europees Verdrag tot bescherming van de rechten van de mens, zoals in de jurisprudentie van het Hof van Justitie van de Europese Unie en van het Europees Hof van de Rechten van de Mens wordt erkend, en met name de wezenlijke inhoud van rechten en vrijheden eerbiedigen. [Am. 26]

(35)  Wanneer de lidstaten wetgevingsmaatregelen hebben vastgesteld die het recht van toegang geheel of ten dele beperken, dient de betrokkene het recht te hebben om te verzoeken dat de bevoegde nationale toezichthoudende autoriteit de rechtmatigheid van de verwerking verifieert. De betrokkene moet over dit recht worden ingelicht. Indien de toezichthoudende autoriteit namens de betrokkene toegang krijgt, dient de toezichthoudende autoriteit de betrokkene ten minste mee te delen dat alle noodzakelijke verificaties door de toezichthoudende autoriteit zijn verricht en hem in te lichten over het resultaat daarvan wat de rechtmatigheid van de verwerking in kwestie betreft. De toezichthoudende autoriteit moet de betrokkene tevens informeren over zijn recht om een beroep in rechte in te stellen. [Am. 27]

(36)  Eenieder dient het recht te hebben onjuiste of onrechtmatig verwerkte persoonsgegevens over zichzelf te laten rectificeren en deze te laten wissen, indien de verwerking van dergelijke gegevens niet in overeenstemming is met de in deze richtlijn opgenomen hoofdbeginselen bepalingen. Een dergelijke rectificatie, aanvulling of wissing dienen te worden meegedeeld aan de ontvangers aan wie de gegevens bekend zijn gemaakt en aan derden van wie de onjuiste data afkomstig waren. De voor de verwerking verantwoordelijke dient er tevens voor te zorgen dat verdere verspreiding van dergelijke gegevens achterwege blijft. Indien de persoonsgegevens worden verwerkt in het kader van strafrechtelijke onderzoeken en procedures, mag het recht van rectificatie, informatie, toegang en wissing worden uitgeoefend en de beperking van de verwerking worden verricht overeenkomstig het nationale strafprocesrecht. [Am. 28]

(37)  Er dient te worden voorzien in de algehele verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke voor elke verwerking van persoonsgegevens door of namens de voor de verwerking verantwoordelijke. Met name dient de voor de verwerking verantwoordelijke erop toe te zien en ertoe verplicht te worden om aan te kunnen tonen dat de elke verwerking geschiedt overeenkomstig de krachtens deze richtlijn vastgestelde voorschriften. [Am. 29]

(38)  De bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens vereist passende technische en organisatorische maatregelen om te waarborgen dat aan de vereisten van de richtlijn wordt voldaan. Teneinde toe te zien op de naleving van de krachtens deze richtlijn vastgestelde bepalingen dient de voor de verwerking verantwoordelijke beleid vast te stellen en passende maatregelen te treffen, die in het bijzonder in overeenstemming zijn met de beginselen van privacy by design en privacy by default.

(39)  Het is voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van voor de verwerking verantwoordelijken en verwerkers noodzakelijk dat de bij deze richtlijn vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, ook wanneer de voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking samen met andere voor de verwerking verantwoordelijken vaststelt, of wanneer een verwerking wordt uitgevoerd namens een voor de verwerking verantwoordelijke. De betrokkene dient het recht te hebben om zijn of haar rechten uit hoofde van deze richtlijn uit te oefenen met betrekking tot en jegens ieder van de gezamenlijk voor de verwerking verantwoordelijken. [Am. 30]

(40)  Verwerkingsactiviteiten dienen door de voor de verwerking verantwoordelijke of de verwerker te worden gedocumenteerd, zodat toezicht kan worden uitgeoefend op de naleving van deze richtlijn. Elke voor de verwerking verantwoordelijke en elke verwerker moet ertoe worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en deze documentatie op verzoek te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.

(40 bis)  Elke verwerking van persoonsgegevens moet worden geregistreerd om te kunnen verifiëren of de verwerking van gegevens rechtmatig is, interne controle uit te oefenen en de integriteit en de beveiliging van de gegevens te waarborgen. Dit dossier moet op verzoek beschikbaar worden gesteld aan de toezichthoudende autoriteit zodat deze kan nagaan of de in deze richtlijn neergelegde voorschriften zijn nageleefd. [Am. 31]

(40 ter)  Indien verwerkingsactiviteiten op grond van hun aard, hun reikwijdte of hun doel waarschijnlijk specifieke risico's voor de rechten en vrijheden van betrokkenen met zich meebrengen, dient de voor de verwerking verantwoordelijke of verwerker een privacyeffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de geplande maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze richtlijn is voldaan. Effectbeoordelingen moeten betrekking hebben op relevante systemen en procedures van verwerkingactiviteiten van persoonsgegevens, maar niet op individuele gevallen. [Am. 32]

(41)  Teneinde de rechten en vrijheden van betrokkenen doeltreffend te beschermen door middel van preventieve maatregelen, dient de voor de verwerking verantwoordelijke of de verwerker in bepaalde gevallen vóór de verwerking plaatsvindt overleg te plegen met de toezichthoudende autoriteit. Indien bovendien uit een privacyeffectbeoordeling blijkt dat verwerkingsactiviteiten waarschijnlijk aanzienlijke specifieke risico's voor de rechten en vrijheden van betrokkenen met zich meebrengen, moet de toezichthoudende autoriteit de mogelijkheid hebben om voor aanvang van die verwerkingsactiviteiten te voorkomen dat een risicovolle verwerking die niet in overeenstemming is met deze richtlijn wordt uitgevoerd en om voorstellen te doen om dergelijke situaties te verbeteren. Een dergelijke raadpleging kan ook worden uitgevoerd in het kader van de voorbereiding van een door het nationale parlement aan te nemen maatregel of een maatregel die gebaseerd is op een dergelijke wettelijke maatregel, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen. [Am. 33]

(41 bis)  Teneinde de veiligheid te waarborgen en te voorkomen dat verwerking plaatsvindt die strijdig is met deze richtlijn, dient de voor de verwerking verantwoordelijke of de verwerker de risico's die de verwerking meebrengt te beoordelen en maatregelen te treffen om deze risico's te beperken. Deze maatregelen dienen een passend niveau van veiligheid te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging enerzijds en de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen anderzijds. Bij het vaststellen van technische normen en organisatorische maatregelen voor de veiligheid van de verwerking dient technologische neutraliteit te worden bevorderd. [Am. 34]

(42)  Een inbreuk in verband met persoonsgegevens kan, wanneer deze niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokken persoon aanzienlijk economisch verlies en maatschappelijke schade, inclusief reputatieschade identiteitsfraude, tot gevolg hebben. Zodra een voor de verwerking verantwoordelijke weet dat een dergelijke inbreuk heeft plaatsgevonden, dient hij daarom de bevoegde nationale autoriteit daarvan op de hoogte te stellen. De personen van wie de persoonsgegevens of de persoonlijke levenssfeer als gevolg van de inbreuk negatieve gevolgen kunnen ondervinden, moeten daarvan zonder onnodige vertraging in kennis worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. Een inbreuk moet worden geacht negatieve gevolgen te hebben voor iemand persoonsgegevens of persoonlijke levenssfeer, wanneer die inbreuk kan leiden tot bijvoorbeeld identiteitsdiefstal of ‑fraude, lichamelijke schade, ernstige vernedering of aantasting van de reputatie in samenhang met de verwerking van persoonsgegevens. De kennisgeving moet informatie bevatten over de door de aanbieder getroffen maatregelen om de inbreuk aan te pakken, evenals aanbevelingen voor de betrokken abonnee of persoon. Kennisgevingen aan betrokkenen moeten zo spoedig mogelijk, in nauwe samenwerking met de toezichthoudende autoriteit en in overeenstemming met de door haar verstrekte richtsnoeren worden gedaan. [Am. 35]

(43)  Bij de vaststelling van gedetailleerde voorschriften betreffende het formaat en de procedures voor de melding van inbreuken in verband met de persoonsgegevens moet de nodige aandacht worden besteed aan de omstandigheden van de inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet met behulp van adequate technische beschermingsmaatregelen waren beschermd zodat de waarschijnlijkheid van misbruik in de praktijk was beperkt. Bovendien moet bij dergelijke voorschriften en procedures rekening worden gehouden met de gerechtvaardigde belangen van de bevoegde autoriteiten in gevallen waarin vroegtijdige melding van incidenten nodeloos het onderzoek naar de omstandigheden van een inbreuk zou kunnen hinderen.

(44)  De voor de verwerking verantwoordelijke of de verwerker dient een persoon aan te wijzen die de voor de verwerking verantwoordelijke of de verwerker bijstaat bij het toezicht op en het aantonen van de naleving van de bepalingen die krachtens deze richtlijn zijn vastgesteld. Er kan door verschillende entiteiten Wanneer verscheidene bevoegde autoriteiten handelen onder toezicht van een bevoegde centrale autoriteit gezamenlijk , dient in ieder geval deze centrale autoriteit een functionaris voor gegevensbescherming worden benoemd gegevensverwerking te benoemen. De functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk en doeltreffend uit te voeren, met name door vaststelling van voorschriften die belangenconflicten met andere taken van functionarissen voor gegevensbescherming voorkomen. [Am. 36]

(45)  De lidstaten moeten erop toezien dat doorgifte naar derde landen slechts plaatsvindt indien die specifieke doorgifte dit noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen, en dat de voor de verwerking verantwoordelijke in het derde land of de internationale organisatie een autoriteit overheidsinstantie is die bevoegd is in de zin van deze richtlijn. Een doorgifte kan plaatsvinden in gevallen waarin de Commissie heeft besloten dat het betrokken derde land of de betrokken internationale organisatie een passend beschermingsniveau waarborgt, of in gevallen waarin passende waarborgen worden geboden, of indien door een juridisch bindend instrument passende garanties worden geboden. Gegevens die aan bevoegde overheidsinstanties in derde landen worden doorgegeven mogen niet verder worden verwerkt voor andere doeleinden dan die waarvoor zij zijn doorgegeven. [Am. 37]

(45 bis)  Verdere doorgiften door bevoegde autoriteiten of internationale organisaties waarnaar persoonsgegevens zijn doorgegeven, dienen alleen te worden toegestaan indien de verdere doorgifte noodzakelijk is voor dezelfde specifieke doeleinden als de oorspronkelijke doorgifte en ook de tweede ontvanger een bevoegde overheidsinstantie is. Verdere doorgiften met het oog op de algemene wetshandhaving dienen niet te zijn toegestaan. De bevoegde autoriteit die de oorspronkelijke doorgifte heeft uitgevoerd dient akkoord te zijn gegaan met de verdere doorgifte. [Am. 38]

(46)  De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, of een gebied of een verwerkingssector in een derde land, of een internationale organisatie een passend niveau van bescherming van persoonsgegevens bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die geacht worden een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar de betrokken landen worden doorgegeven zonder dat verdere toestemming noodzakelijk is.

(47)  Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie in aanmerking te nemen in welke mate de rechtsstaat, de toegang tot de rechter en de internationale mensenrechtennormen in het derde land worden geëerbiedigd.

(48)  De Commissie moet tevens kunnen besluiten dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt. In een dergelijk geval dient de doorgifte van persoonsgegevens naar dat derde land te worden verboden, tenzij die doorgifte geschiedt op grond van een internationale overeenkomst, passende waarborgen of een uitzonderingsbepaling. Er dient te worden voorzien in procedures voor overleg tussen de Commissie en de betrokken derde landen of internationale organisaties. Het desbetreffende besluit van de Commissie mag echter geen afbreuk doen aan de mogelijkheid om gegevens door te geven op grond van passende waarborgen door middel van juridisch bindende instrumenten of een in de richtlijn neergelegde uitzonderingsbepaling. [Am. 39]

(49)  Doorgiften die niet plaatsvinden op grond van een besluit waarbij het beschermingsniveau passend wordt verklaard, dienen slechts te zijn toegestaan indien in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens worden geboden, of indien de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de gegevensdoorgifte of het geheel van gegevensdoorgiften heeft beoordeeld en op basis van die beoordeling van oordeel is dat passende garanties voor de bescherming van persoonsgegevens worden geboden. In gevallen waarin er geen gronden zijn om een gegevensdoorgifte toe te laten, moeten indien nodig uitzonderingen zijn toegestaan om een vitaal belang van de betrokkene of een andere persoon te beschermen of om gerechtvaardigde belangen van de betrokkene te beschermen, indien het recht van de lidstaat vanuit welke de doorgifte plaatsvindt aldus bepaalt, of indien de doorgifte van wezenlijk belang is om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen, of, in afzonderlijke gevallen, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, of, in afzonderlijke gevallen, voor de vaststelling, de uitoefening of de verdediging van rechtsvorderingen. [Am. 40]

(49 bis)  In gevallen waarin er geen gronden zijn om een gegevensdoorgifte toe te laten, moeten indien nodig uitzonderingen zijn toegestaan om een vitaal belang van de betrokkene of een andere persoon te beschermen of om gerechtvaardigde belangen van de betrokkene te beschermen, indien het recht van de lidstaat vanuit welke de doorgifte plaatsvindt aldus bepaalt, of indien de doorgifte van wezenlijk belang is om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen, of, in afzonderlijke gevallen, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, of, in afzonderlijke gevallen, voor de vaststelling, de uitoefening of de verdediging van rechtsvorderingen. Deze uitzonderingen moeten restrictief worden uitgelegd en mogen geen frequente, massale en structurele doorgifte van persoonsgegevens mogelijk maken en evenmin een grootschalige doorgifte van gegevens, maar moeten tot de strikt noodzakelijke gegevens beperkt blijven. Het besluit tot doorgifte moet bovendien door een naar behoren bevoegde persoon worden vastgesteld en die doorgifte moet worden gedocumenteerd en op verzoek beschikbaar worden gesteld aan de toezichthoudende autoriteit, zodat deze de rechtmatigheid van de doorgifte kan beoordelen. [Am. 41]

(50)  Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige verstrekking van die gegevens. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden of inconsistente rechtskaders. Nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming dient daarom te worden bevorderd met het oog op de uitwisseling van informatie met dergelijke instanties in het buitenland.

(51)  Het is voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteiten wordt ingesteld die haar taken volstrekt onafhankelijk uitvoert. De toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en bij te dragen tot de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken. [Am. 42]

(52)  De lidstaten kunnen een toezichthoudende autoriteit die reeds krachtens Verordening (EU) nr. …/2014 is ingesteld, belasten met de taken die de krachtens deze richtlijn in te stellen nationale toezichthoudende autoriteiten moeten uitvoeren.

(53)  De lidstaten dienen de mogelijkheid te hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Iedere toezichthoudende autoriteit dient te beschikken over passende financiële en personele middelen en de huisvesting en infrastructuur, waaronder technische mogelijkheden, ervaring en vaardigheden, die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. [Am. 43]

(54)  De algemene voorwaarden voor de leden van de toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat die leden hetzij door het parlement, hetzij door de regering van de lidstaat op basis van raadpleging van het parlement worden benoemd, en voorschriften te bevatten inzake de persoonlijke kwalificaties van de leden en de positie van de leden. [Am. 44]

(55)  Hoewel deze richtlijn ook van toepassing is op de activiteiten van nationale gerechtelijke instanties, dient de bevoegdheid van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door die instanties in het kader van hun rechtelijke taken, zulks om de onafhankelijkheid van de rechter bij de uitvoering van gerechtelijke taken in stand te houden. Deze uitzondering dient echter beperkt te blijven tot daadwerkelijke gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het nationale recht verrichten.

(56)  Met het oog op een consequent toezicht en de eenvormige handhaving van deze richtlijn in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en effectieve bevoegdheden te hebben, waaronder de effectieve bevoegdheid om onderzoek te verrichten, de bevoegdheid om alle persoonsgegevens en alle informatie die nodig zijn voor het uitvoeren van hun toezichthoudende taken in te zien, de bevoegdheid om de gebouwen van de voor de verwerking verantwoordelijke of van de verwerker te betreden met inbegrip van de verwerkingsapparatuur, en juridisch bindend op te treden, besluiten te nemen en sancties op te leggen, in het bijzonder bij klachten van personen, alsook de bevoegdheid om in rechte op te treden. [Am. 45]

(57)  Iedere toezichthoudende autoriteit dient kennis te nemen van klachten die door een betrokkene zijn ingediend en de zaak te onderzoeken. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt.

(58)  De toezichthoudende autoriteiten dienen elkaar wederzijdse bijstand te verlenen bij de uitvoering van hun taken met het oog op de consequente toepassing en handhaving van de krachtens deze richtlijn vastgestelde bepalingen. Iedere toezichthoudende autoriteit moet bereid zijn deel te nemen aan gezamenlijke operaties. Iedere aangezochte toezichthoudende autoriteit dient verplicht te zijn binnen een vastgestelde termijn op het verzoek te reageren. [Am. 46]

(59)  Het bij Verordening (EU) nr. …/2012 2014 ingestelde Europees Comité voor gegevensbescherming dient bij te dragen tot de consequente toepassing van deze richtlijn in de Unie, onder meer door de Commissie instellingen van de Unie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen, en aan de Commissie advies uit te brengen ten behoeve van de voorbereiding van gedelegeerde en uitvoeringshandelingen uit hoofde van deze richtlijn. [Am. 47]

(60)  Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat en een beroep in rechte in te stellen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze richtlijn of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene.

(61)  Alle organen, organisaties of verenigingen die handelen in het algemeen belang en die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben en die volgens het recht van een lidstaat zijn opgericht, dienen het recht te hebben om een klacht in te dienen of namens betrokkenen door wie zij naar behoren zijn gemachtigd een recht op beroep in rechte uit te oefenen, en om onafhankelijk van een klacht van een betrokkene zelf een klacht in te dienen indien zij menen dat zich een inbreuk in verband met persoonsgegevens heeft voorgedaan. [Am. 48]

(62)  Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen. Een vordering tegen een toezichthoudende autoriteit moet worden ingesteld bij de gerechtelijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

(63)  Willen gerechtelijke procedures effectief zijn, dan dienen de lidstaten erop toe te zien dat daarbij snel maatregelen kunnen worden getroffen om inbreuken op deze richtlijn ongedaan te maken of te voorkomen.

(64)  De schade, waaronder immateriële schade, die betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden vergoed door de voor de verwerking verantwoordelijke of de verwerker, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, wat met name het geval is wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht. [Am. 49]

(65)  Er moet worden voorzien in sancties jegens alle natuurlijke personen of rechtspersonen, ongeacht of deze onder het publiekrecht dan wel onder het privaatrecht vallen, die deze richtlijn niet naleven. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en alle maatregelen te nemen om de sancties ten uitvoer te leggen.

(65 bis)  De doorgifte van persoonsgegevens naar andere autoriteiten of particuliere instanties is verboden, tenzij de doorgifte in overeenstemming is met het recht, en de ontvanger in een lidstaat gevestigd is, en er geen specifieke belangen van de betrokkene zijn die de doorgifte verhinderen, en de doorgifte in een specifiek geval voor de voor de verwerking verantwoordelijke noodzakelijk is om een rechtmatig toegewezen taak uit te voeren of om een onmiddellijke en ernstige bedreiging van de openbare veiligheid af te wenden, dan wel om te voorkomen dat de rechten van personen ernstig worden geschonden. De voor de verwerking verantwoordelijke moet de ontvanger inlichten over het doel van de verwerking en hij moet de toezichthoudende autoriteit informeren over de doorgifte. De ontvanger moet tevens geïnformeerd worden over beperkingen voor de verwerking en ervoor zorgen dat deze in acht worden genomen. [Am. 50]

(66)  Met het oog op de verwezenlijking van de doelstellingen van deze richtlijn, namelijk het beschermen van de grondrechten en fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, dient aan de Commissie de bevoegdheid te worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. In het bijzonder dient de mogelijkheid te bestaan om moeten gedelegeerde handelingen vast te stellen met betrekking tot de melding van inbreuken worden vastgesteld met het oog op de nadere invulling van de criteria en de voorwaarden voor verwerkingen waarvoor een privacyeffectbeoordeling vereist is; de criteria en vereisten om een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit vast te stellen en met betrekking tot het passende beschermingsniveau van persoonsgegevens dat een derde land, dan wel een gebied of een verwerkende sector binnen dat derde land, of een internationale organisatie, biedt. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau en in het bijzonder van het Europees Comité voor gegevensbescherming. De Commissie moet er bij de voorbereiding en opstelling van de gedelegeerde handelingen ervoor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en aan de Raad. [Am. 51]

(67)  Om eenvormige voorwaarden voor de uitvoering van deze richtlijn te waarborgen ten aanzien van de documentering door voor de verwerking verantwoordelijken en verwerkers, de beveiliging van de gegevensverwerking, met name wat versleutelingsnormen betreft, en de melding van inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit, en het passend beschermingsniveau dat geboden wordt door een derde land, een gebied of verwerkingssector binnen een derde land, of een internationale organisatie, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die Deze bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren(7). [Am. 52]

(68)  Voor de vaststelling van maatregelen ten aanzien van de documentering door voor de verwerking verantwoordelijken en verwerkers, de beveiliging van de gegevensverwerking, en de melding van inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit, en het passend beschermingsniveau dat geboden wordt door een derde land, een gebied of verwerkingssector binnen een derde land, of een internationale organisatie, moet de onderzoeksprocedure worden toegepast, aangezien dit handelingen van algemene strekking zijn. [Am. 53]

(69)  Wanneer een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt, moet de Commissie in naar behoren gerechtvaardige gevallen onmiddellijk toepasselijke uitvoeringshandelingen vaststellen, wanneer dwingende urgente redenen dat vereisen. [Am. 54]

(70)  Daar de doelstellingen van deze richtlijn, namelijk het beschermen van de fundamentele rechten en vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van hun persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, niet voldoende door de lidstaten kunnen worden verwezenlijkt en derhalve, gezien maar vanwege de omvang en de gevolgen van de maatregelen, beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan wat nodig is om dit doel deze doelstellingen te verwezenlijken. De lidstaten kunnen voorzien in strengere normen dan die welke in deze richtlijn zijn vastgesteld. [Am. 55]

(71)  Kaderbesluit 2008/977/JBZ dient bij deze richtlijn te worden ingetrokken.

(72)  Specifieke bepalingen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, die zijn opgenomen in handelingen van de Unie die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, dienen ongewijzigd te blijven. Gezien het feit dat artikel 8 van het Handvest van de grondrechten en artikel 16 VWEU bepalen dat het grondrecht op bescherming van persoonsgegevens op een consistente en uniforme wijze in de EU moet worden gewaarborgd, dient de Commissie dient binnen twee jaar na de inwerkingtreding van deze richtlijn na te gaan wat het verband is tussen deze richtlijn en handelingen die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, teneinde de noodzaak van aanpassing van die specifieke bepalingen aan deze richtlijn te beoordelen, en dient zij passende voorstellen in te dienen om te zorgen voor consistente en homogene voorschriften voor de verwerking van persoonsgegevens door bevoegde autoriteiten of voor de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen, evenals voor de verwerking van persoonsgegevens door de instellingen, organen, bureaus en agentschappen van de Unie met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties binnen de werkingssfeer van deze richtlijn. [Am. 56]

(73)  Teneinde de algehele en samenhangende bescherming van persoonsgegevens in de Unie te waarborgen, dienen internationale overeenkomsten die de Unie of de lidstaten voor de inwerkintreding van deze richtlijn hebben gesloten, te worden gewijzigd in overeenstemming met deze richtlijn. [Am. 57]

(74)  Deze richtlijn laat de voorschriften ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, zoals opgenomen in Richtlijn 2011/93/EU van het Europees Parlement en de Raad(8), onverlet.

(75)  Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, zijn het Verenigd Koninkrijk en Ierland niet gebonden door de in deze richtlijn vastgestelde voorschriften, wanneer het Verenigd Koninkrijk en Ierland niet gebonden zijn door de regels van de Unie betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 van het Verdrag betreffende de werking van de Europese Unie vastgestelde bepalingen moeten worden nageleefd.

(76)  Overeenkomstig de artikelen 2 en 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, zijn de bepalingen van deze richtlijn niet bindend voor, noch van toepassing in Denemarken. Aangezien deze richtlijn een uitwerking inhoudt van het Schengenacquis overeenkomstig titel V van het derde deel van het Verdrag betreffende de werking van de Europese Unie, beslist Denemarken overeenkomstig artikel 4 van dat Protocol binnen zes maanden na de vaststelling van een maatregel of het deze maatregel in zijn nationale wetgeving zal omzetten. [Am. 58]

(77)  Wat Noorwegen en IJsland betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop laatstgenoemden worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(9).

(78)  Wat Zwitserland betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(10).

(79)  Wat Liechtenstein betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis als bedoeld in het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(11).

(80)  Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die erkend zijn in het Handvest, zoals verankerd in het Verdrag, met name het recht op eerbiediging van het privéleven en het familie- en gezinsleven, het recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht. De beperkingen op de uitoefening van deze rechten zijn in overeenstemming met artikel 52, lid 1, van het Handvest, omdat zij noodzakelijk zijn om te beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

(81)  Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie van 28 september 2011 over toelichtende stukken(12) hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten wordt toegelicht. Ten aanzien van deze richtlijn acht de wetgever de toezending van dergelijke toelichtende documenten verantwoord.

(82)  Deze richtlijn dient de lidstaten niet te beletten om bepalingen betreffende de uitoefening van de rechten van betrokkenen inzake informatie, toegang, rectificatie, uitwissing en beperking van hun persoonsgegevens die worden verwerkt in het kader van strafrechtelijke procedures, alsmede eventuele beperkingen daarop, in het nationale strafprocesrecht op te nemen,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en doelstellingen

1.  Bij deze richtlijn worden bepalingen vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of en de tenuitvoerlegging van straffen, en bepalingen ten aanzien van het vrije verkeer van die persoonsgegevens.

2.  Overeenkomstig deze richtlijn hebben de lidstaten de verplichting:

a)  de grondrechten en fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van hun persoonsgegevens en van hun persoonlijke levenssfeer te beschermen; alsmede

b)  erop toe te zien dat de uitwisseling van persoonsgegevens binnen de Unie door bevoegde autoriteiten niet wordt beperkt of verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

2 bis.  Deze richtlijn belet de lidstaten niet om uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet.[Am. 59]

Artikel 2

Toepassingsgebied

1.  Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de in artikel 1, lid 1, bedoelde doeleinden.

2.  Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

3.  Deze richtlijn is niet van toepassing op de verwerking van persoonsgegevens:

a)  in het kader van activiteiten die buiten de werkingssfeer van het EU-recht vallen, met name activiteiten op het gebied van de nationale veiligheid;

b)  door instellingen, organen en instanties van de Unie. [Am. 60]

Artikel 3

Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

(1)  “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan redelijkerwijs te verwachten is dat zij door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke persoon of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer elementen die kenmerkend zijn voor zijn lichamelijke, fysiologische, genetische, geestelijke, economische, culturele of sociale identiteit;

(2)  “persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, gegevens over de verblijfplaats, een unieke identificatiecode of van een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele, sociale of genderidentiteit van die persoon;

(2 bis)  "pseudonieme gegevens": persoonsgegevens die niet aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, zo lang als dergelijke aanvullende informatie apart wordt bewaard en op voorwaarde dat technische en organisatorische maatregelen worden genomen om niet-koppeling te waarborgen;

(3)  “verwerking”: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het beperken, wissen of vernietigen van gegevens;

(3 bis)   "profilering": elke vorm van geautomatiseerde verwerking van persoonsgegevens die tot doel heeft om bepaalde persoonlijke aspecten met betrekking tot een natuurlijke persoon te evalueren, met de bedoeling met name beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen;

(4)  “beperken van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

(5)  “bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

(6)  “voor de verwerking verantwoordelijke”: een bevoegde overheidsinstantie die, alleen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de voorwaarden en middelen voor de verwerking worden vastgesteld bij het recht van de EU of het recht van delidstaat, kan in het recht van de EU of het recht van de lidstaat worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

(7)  “verwerker”: een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam die of dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(8)  “ontvanger”: een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam aan wie, respectievelijk waaraan de persoonsgegevens worden verstrekt;

(9)  “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging, met als gevolg de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verstrekte, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig;

(10)  “genetische gegevens”: gegevens, van welke aard ook, over de overgeërfde of tijdens de vroege prenatale ontwikkeling verkregen kenmerken van een persoon;

(11)  “biometrische gegevens”: gegevens alle persoonsgegevens met betrekking tot de fysieke, fysiologische of gedragskenmerken van een persoon op grond waarvan de eenduidige kenmerking van die persoon mogelijk is, zoals afbeeldingen van het gezicht of dactyloscopische gegevens;

(12)  “gegevens over gezondheid”: informatie persoonsgegevens over de fysieke of mentale gezondheid van een persoon, of over de verlening van een gezondheidsdienst aan een persoon;

(13)  “kind”: een persoon die jonger is dan achttien jaar;

(14)  “bevoegde autoriteiten”: elke overheidsinstantie die bevoegd is ten aanzien van de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

(15)  “toezichthoudende autoriteit”: een door een lidstaat overeenkomstig artikel 39 ingestelde overheidsinstantie. [Am. 61]

HOOFDSTUK II

BEGINSELEN

Artikel 4

Beginselen inzake de verwerking van persoonsgegevens

De lidstaten bepalen dat persoonsgegevens:

a)  rechtmatig, eerlijk en rechtmatig op transparante en controleerbare wijze ten aanzien van de betrokkene moeten worden verwerkt;

b)  voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet op een met die doeleinden onverenigbare wijze mogen worden verwerkt;

c)  adequaat en ter zake dienend en niet excessief moeten zijn en beperkt moeten blijven tot wat minimaal nodig is in verhouding tot het doel waarvoor zij worden verwerkt; zij worden alleen verwerkt wanneer en voor zolang als de doeleinden niet zouden kunnen worden verwezenlijkt door het verwerken van andere gegevens dan persoonsgegevens;

d)  juist moeten zijn en zo nodig moeten worden geactualiseerd; alle redelijke maatregelen dienen te worden genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;

e)  moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, maar niet langer dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt;

f)  moeten worden verwerkt onder de verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke, die toeziet op en bewijs kan leveren van de naleving van de krachtens deze richtlijn vastgestelde bepalingen;

f bis)  worden verwerkt op een manier die de betrokkene daadwerkelijk de mogelijkheid biedt zijn of haar rechten uit te oefenen zoals beschreven in de artikelen 10 tot en met 17;

f ter)  met gebruikmaking van gepaste technische of organisatorische middelen op een dusdanige manier worden verwerkt dat beschermd wordt tegen ongeoorloofde of onrechtmatige verwerking alsook tegen onopzettelijk verlies, vernietiging of beschadiging;

f quater)   uitsluitend worden verwerkt door naar behoren gemachtigd personeel van de bevoegde autoriteiten die de gegevens nodig hebben voor de uitvoering van hun taken. [Am. 62]

Artikel 4 bis

Toegang tot gegevens die oorspronkelijk voor andere dan de in artikel 1, lid 1, bepaalde doeleinden zijn verwerkt

1.  De lidstaten bepalen dat de bevoegde autoriteiten uitsluitend toegang mogen hebben tot persoonsgegevens die oorspronkelijk voor andere dan de in artikel 1, lid 1 bepaalde doeleinden zijn verwerkt, indien zij hiertoe specifiek bevoegd zijn op grond van het recht van de Unie of of het recht van de desbetreffende lidstaat, die moet voldoen aan de vereisten van artikel 7, lid 1 bis, en zij bepalen dat:

a)  de toegang uitsluitend wordt toegestaan aan naar behoren gemachtigd personeel van de bevoegde autoriteiten voor de uitvoering van hun taken indien er in specifieke gevallen goede redenen bestaan om aan te nemen dat de persoonsgegevens een wezenlijke bijdrage leveren aan de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

b)  verzoeken tot toegang schriftelijk zijn en dat daarin verwezen wordt naar de rechtsgrond van het verzoek;

c)  het schriftelijk verzoek gedocumenteerd is; en

d)  passende waarborgen worden geboden ter bescherming van de grondrechten en fundamentele vrijheden in verband met de verwerking van persoonsgegevens. Deze waarborgen doen geen afbreuk aan en vormen een aanvulling op de specifieke voorwaarden voor toegang tot persoonsgegevens, zoals toestemming van een rechter overeenkomstig het recht van de lidstaat.

2.  Toegang tot persoonsgegevens in handen van particuliere partijen of andere overheidsinstanties is uitsluitend toegestaan voor onderzoek of vervolging van strafbare feiten overeenkomstig de vereisten van noodzakelijkheid en evenredigheid die in het recht van de Unie of in het recht van een lidstaat moeten worden vastgesteld, in volledige overeenstemming met artikel 7 bis. [Am. 63]

Artikel 4 ter

Termijnen voor opslag en toetsing

1.  De lidstaten zorgen ervoor dat persoonsgegevens die uit hoofde van deze richtlijn worden verwerkt, door de bevoegde autoriteiten worden gewist zodra ze niet meer nodig zijn voor de doeleinden waarvoor ze zijn verwerkt.

2.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten mechanismen instellen waarmee, overeenkomstig artikel 4, termijnen worden vastgesteld voor het wissen van persoonsgegevens en voor een periodieke toetsing van de noodzaak tot het opslaan van deze gegevens, met inbegrip van vaste opslagtermijnen voor de verschillende categorieën persoonsgegevens. Proceduremaatregelen worden vastgesteld om ervoor te zorgen dat deze termijnen en de intervallen voor periodieke toetsing in acht worden genomen. [Am. 64]

Artikel 5

Onderscheid tussen Verschillende categorieën betrokkenen

1.  De lidstaten bepalen dat de bevoegde autoriteiten alleen persoonsgegevens kunnen verwerken voor de in artikel 1, lid 1 bedoelde doeleinden van de volgende categorieën betrokkenen, en de voor de verwerking verantwoordelijke voor zover mogelijk maakt een duidelijk onderscheid maakt tussen persoonsgegevens betreffende verschillende deze categorieën betrokkenen, zoals:

a)  personen ten aanzien van wie gegronde redelijke vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen gaan plegen;

b)  personen die veroordeeld zijn voor een strafbaar feit misdrijf;

c)  slachtoffers van een strafbaar feit, of personen ten aanzien van wie op basis van bepaalde feiten wordt vermoed dat zij slachtoffer zouden kunnen worden van een strafbaar feit; alsmede

d)  personen die als derden bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafprocedure, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een van de personen vermeld onder a) of b). alsmede

e)  personen die onder geen van de bovengenoemde categorieën vallen.

2.  Persoonsgegevens van andere dan de in lid 1 bedoelde betrokkenen mogen alleen worden verwerkt:

a)  zolang dat noodzakelijk is voor het onderzoek of de vervolging van een specifiek strafbaar feit teneinde te bepalen in hoeverre de gegevens voor een van de in lid 1 genoemde categorieën relevant zijn; of

b)  wanneer deze verwerking onontbeerlijk is voor gerichte, preventieve doeleinden of met het oog op de strafrechtelijke analyse, indien en zolang als dit doel rechtmatig, welbepaald en specifiek is en de verwerking strikt beperkt blijft tot het beoordelen van de relevantie van de gegevens voor een van de in lid 1 genoemde categorieën. Dit wordt ten minste iedere zes maanden regelmatig herzien. Elk ander gebruik is verboden.

3.  De lidstaten bepalen dat aanvullende beperkingen en waarborgen, overeenkomstig het recht van de lidstaat, van toepassing zijn op de verdere verwerking van persoonsgegevens betreffende de in lid 1, onder c) en d) vermelde betrokkenen. [Am. 65]

Artikel 6

Verschillende graden van juistheid en betrouwbaarheid van persoonsgegevens

1.  De lidstaten zien erop toe nemen maatregelen dat de verschillende categorieën juistheid en betrouwbaarheid van persoonsgegevens die worden verwerkt, voor zover mogelijk worden onderscheiden naar de graad van juistheid en betrouwbaarheid gewaarborgd.

2.  De lidstaten zien erop toe dat persoonsgegevens die op feiten zijn gebaseerd, voor zover mogelijk, worden onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd, naar de graad van juistheid en betrouwbaarheid.

2 bis.  De lidstaten zien erop toe dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgegeven of beschikbaar gesteld. Hiertoe bepalen zij dat de bevoegde autoriteiten de kwaliteit van de persoonsgegevens moeten beoordelen alvorens deze door te geven of beschikbaar te stellen. Voor zover mogelijk, wordt bij iedere doorgifte van gegevens informatie meegezonden aan de hand waarvan de ontvangende lidstaat de juistheid, volledigheid en betrouwbaarheid van de gegevens, en ook de mate waar deze actueel zijn, kan beoordelen. Het is verboden om zonder verzoek daartoe van de bevoegde autoriteit persoonsgegevens door te geven, in het bijzonder persoonsgegevens die oorspronkelijk in handen waren van particuliere partijen.

2 ter.  Indien wordt vastgesteld dat onjuiste gegevens zijn doorgegeven, of gegevens op onrechtmatige wijze zijn doorgegeven, dient dit onmiddellijk aan de ontvanger te worden meegedeeld. De ontvanger is verplicht de gegevens onverwijld te corrigeren overeenkomstig lid 1, en artikel 15, dan wel te wissen als overeenkomstig artikel 16. [Am. 66]

Artikel 7

Rechtmatigheid van de verwerking

1.  De lidstaten bepalen dat het verwerken van persoonlijke gegevens slechts rechtmatig is wanneer en voor zover die verwerking plaatsvindt op grond van het recht van de Unie of een lidstaat, voor een van de in artikel 1, lid 1, genoemde doeleinden en het noodzakelijk is:

a)  voor het uitvoeren van een taak door een bevoegde autoriteit, op grond van een wettelijke bepaling, voor een van de in artikel 1, lid 1, genoemde doeleinden; of

b)  om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke is onderworpen; of

c)  om een vitaal belang van de betrokkene of een andere persoon te beschermen; of

d)  om een onmiddellijke en ernstige bedreiging van de openbare veiligheid te voorkomen.

1 bis.  Het recht van de lidstaten betreffende de verwerking van persoonsgegevens binnen de werkingssfeer van deze richtlijn bevat uitdrukkelijke en gedetailleerde bepalingen, waarin ten minste het volgende nader wordt bepaald:

a)  de doelstellingen van de verwerking;

b)  de persoonsgegevens die worden verwerkt;

c)  de specifieke doeleinden van en de middelen voor de verwerking;

d)  de benoeming van de voor de verwerking verantwoordelijke of de specifieke criteria voor de benoeming van de voor de verwerking verantwoordelijke;

e)  de categorieën van naar behoren gemachtigd personeel van de bevoegde autoriteiten voor de verwerking van persoonsgegevens;

f)  de voor de verwerking te volgen procedure;

g)  het gebruik dat van de verkregen persoonsgegevens mag worden gemaakt;

h)  de beperkingen van de werkingssfeer van bevoegdheden die aan de bevoegde autoriteiten zijn verleend in verband met de verwerkingsactiviteiten. [Am. 67]

Artikel 7 bis

Verdere verwerking voor onverenigbare doeleinden

1.  De lidstaten zien erop toe dat persoonsgegevens uitsluitend verder verwerkt mogen worden voor andere dan de in artikel 1, lid 1, bepaalde doeleinden, die niet verenigbaar zijn met het doel waarvoor ze oorspronkelijk zijn verzameld, indien en voor zover:

a)  het doel strikt noodzakelijk en evenredig is in een democratische samenleving en vereist door het recht van de Unie of het recht van de lidstaat voor een rechtmatig, welbepaald en specifiek doel;

b)  de verwerking strikt beperkt blijft tot ten hoogste de tijd die nodig is voor de specifieke gegevensverwerking;

c)  verder gebruik voor andere doeleinden verboden is;

Voorafgaand aan de verwerking raadpleegt de lidstaat bevoegde nationale toezichthoudende autoriteit en voert hij een privacyeffectbeoordeling uit.

2.  In aanvulling op de vereisten van artikel 7, lid 1 bis, bevat het recht van de lidstaten op grond waarvan toestemming wordt verleend voor verdere verwerking als bedoeld in lid 1, uitdrukkelijke en gedetailleerde bepalingen waarin ten minste het volgende nader wordt bepaald:

a)  de specifieke doeleinden van en de middelen voor de betreffende verwerking;

b)  dat de toegang uitsluitend wordt toegestaan aan naar behoren gemachtigd personeel van de bevoegde autoriteiten voor de uitvoering van hun taken indien er in specifieke gevallen goede redenen bestaan om aan te nemen dat de persoonsgegevens een wezenlijke bijdrage leveren aan de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen; alsmede

c)  dat passende waarborgen worden geboden ter bescherming van de grondrechten en fundamentele vrijheden in verband met de verwerking van persoonsgegevens.

De lidstaten kunnen eisen dat overeenkomstig hun nationale recht aan de toegang tot persoonsgegevens aanvullende voorwaarden worden gesteld, zoals toestemming van een rechter.

3.  De lidstaten kunnen eveneens de mogelijkheid tot verdere verwerking bieden voor historische, statistische of wetenschappelijke doeleinden, mits zij passende waarborgen bieden, zoals het anonimiseren van de gegevens. [Am. 68]

Artikel 8

Verwerking van bijzondere categorieën van persoonsgegevens

1.  De lidstaten verbieden de verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, seksuele gerichtheid of genderidentiteit, lidmaatschap van en activiteiten voor een vakvereniging blijkt blijken, en de verwerking van genetische biometrische gegevens of van gegevens die de gezondheid of het seksuele leven betreffen.

2.  Lid 1 is niet van toepassing wanneer:

a)  de verwerking is toegestaan op grond van wetgeving die passende waarborgen biedt strikt noodzakelijk en evenredig is voor het uitvoeren van een taak door de bevoegde autoriteiten voor een van de in artikel 1, lid 1, genoemde doeleinden, op grond van het recht van de Unie of van een lidstaat, dat voorziet in specifieke en maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder de specifieke toestemming van een rechter, indien dit volgens het nationale recht vereist is; of

b)  de verwerking noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of een andere persoon; of

c)  de verwerking betrekking heeft op gegevens die kennelijk door de betrokkene openbaar zijn gemaakt, voor zover die relevant zijn en strikt noodzakelijk zijn voor de beoogde doeleinden in een specifiek geval. [Am. 69]

Artikel 8 bis

Verwerking van genetische gegevens in het kader van een strafrechtelijk onderzoek of een gerechtelijke procedure

1.  De lidstaten zien erop toe dat genetische gegevens uitsluitend gebruikt mogen worden om een genetische link vast te stellen met het oog op het verkrijgen van bewijs, het voorkomen van een bedreiging van de openbare veiligheid of het voorkomen van specifieke strafbare feiten. Genetische gegevens mogen niet worden gebruikt om andere kenmerken vast te stellen die genetisch gekoppeld kunnen worden.

2.  De lidstaten zien erop toe dat genetische gegevens of informatie die worden afgeleid uit analyses uitsluitend bewaard worden zolang als dit noodzakelijk is voor de doeleinden waarvoor de gegevens verwerkt worden en indien de betrokkene is veroordeeld voor ernstige misdrijven tegen het leven, de integriteit of de veiligheid van personen, waarbij strikte opslagtermijnen gehanteerd moeten worden die in het recht van de lidstaat worden vastgesteld.

3.  De lidstaten zorgen ervoor dat genetische gegevens of informatie die worden afgeleid uit analyses uitsluitend gedurende langere perioden worden opgeslagen, indien de genetische gegevens niet aan een persoon gekoppeld kunnen worden, met name indien deze gegevens op de plaats delict zijn aangetroffen. [Am. 70]

Artikel 9

Maatregelen op basis van profilering en geautomatiseerde verwerking

1.  De lidstaten bepalen dat maatregelen die voor de betrokkene een nadelig rechtsgevolg hebben of voor hem of haar wezenlijke consequenties hebben, en die uitsluitend gedeeltelijk of geheel berusten op geautomatiseerde verwerking van persoonsgegevens die bedoeld is om bepaalde aspecten van zijn persoonlijkheid te beoordelen, worden verboden, tenzij zulks is toegestaan op grond van wetgeving die ook maatregelen bevat voor de bescherming van de gerechtvaardigde belangen van de betrokkene.

2.  De geautomatiseerde gegevensverwerking die bedoeld is om bepaalde aspecten van de persoonlijkheid van de betrokkene te beoordelen, wordt niet uitsluitend gebaseerd op de in artikel 8 genoemde speciale categorieën persoonsgegevens.

2 bis.  De geautomatiseerde gegevensverwerking die bedoeld is om een betrokkene te onderscheiden zonder een aanvankelijke verdenking dat de betrokkene mogelijk een strafbaar feit heeft gepleegd of dit zal gaan plegen is alleen rechtmatig indien en voor zover zij strikt noodzakelijk is voor het onderzoek van een ernstig strafbaar feit of voor het afwenden van een duidelijk en dreigend gevaar, op basis van concrete aanwijzingen, voor de openbare veiligheid, het voortbestaan van de staat of het leven van personen.

2 ter.  Profilering die, al dan niet opzettelijk, leidt tot discriminatie van personen op grond van ras of etnische afkomst, politieke opvattingen, godsdienst of overtuiging, het lidmaatschap van een vakbond, gender of seksuele gerichtheid, of die, al dan niet opzettelijk, resulteert in maatregelen met dat effect, is onder alle omstandigheden verboden. [Am. 71]

Artikel 9 bis

Algemene beginselen met betrekking tot de rechten van de betrokkene.

1.  De lidstaten zorgen ervoor dat de grondslag voor gegevensbescherming duidelijk is en met ondubbelzinnige rechten voor de betrokkene die door de voor de verwerking verantwoordelijke worden geëerbiedigd. De bepalingen van deze richtlijn zijn erop gericht deze rechten te versterken, verduidelijken, waarborgen en waar nodig, te codificeren.

2.  De lidstaten zorgen ervoor dat deze rechten onder meer omvatten de verstrekking van duidelijke en gemakkelijk te begrijpen informatie over de verwerking van de persoonsgegevens van de betrokkene, de rechten van toegang, rectificatie en uitwissing van persoonsgegevens, het recht om gegevens te verkrijgen, het recht om bezwaar te maken bij de bevoegde gegevensbeschermingsautoriteit en om gerechtelijke procedures aan te spannen om zijn of haar rechten af te dwingen evenals het recht op schadevergoeding ten gevolge van een onrechtmatige verwerking. Dergelijke rechten worden in het algemeen kosteloos uitgeoefend. De voor de verwerking verantwoordelijke reageert binnen een redelijke termijn op verzoeken van de betrokkene. [Am. 72]

HOOFDSTUK III

RECHTEN VAN DE BETROKKENE

Artikel 10

Modaliteiten voor de uitoefening van de rechten van de betrokkene

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle redelijke maatregelen neemt om een beknopt, transparant, duidelijk en eenvoudig toegankelijk beleid te voeren voert met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de rechten van de betrokkene.

2.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene alle informatie en mededelingen over de verwerking van persoonsgegevens verstrekt in begrijpelijke vorm en in duidelijke en eenvoudige taal in het bijzonder indien de informatie specifiek voor een kind bestemd is.

3.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle redelijke maatregelen neemt om procedures vast te stellen vaststelt voor het verstrekken van de in artikel 11 bedoelde informatie en voor de uitoefening van de in de artikelen 12 tot en met 17 genoemde rechten van de betrokkene. Indien persoonsgegevens geautomatiseerd worden verwerkt stelt de voor de verwerking verantwoordelijke de middelen ter beschikking om verzoeken elektronisch in te dienen.

4.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene zonder onnodige vertraging en in elk geval uiterlijk binnen een maand na ontvangst van zijn of haar verzoek, inlicht over het gevolg dat aan zijn verzoek is gegeven. De informatie wordt schriftelijk verstrekt. Indien de betrokkene het verzoek elektronisch indient, wordt de informatie in elektronische vorm ter beschikking gesteld.

5.  De lidstaten bepalen dat alle informatie die de voor de verwerking verantwoordelijke verstrekt en alle maatregelen die hij neemt naar aanleiding van een verzoek als bedoeld in de leden 3 en 4, kosteloos dienen te zijn. Wanneer verzoeken vexatoir kennelijk buitensporig zijn, bijvoorbeeld door met name vanwege hun repetitieve karakter, of hun omvang, mag kan de voor de verwerking verantwoordelijke een redelijke vergoeding in rekening brengen, daarbij rekening houdend met de administratieve kosten voor het verstrekken van de informatie of het verrichten van de gevraagde maatregel in rekening brengen, dan wel de gevraagde actie achterwege laten. In dat geval rust de bewijslast met betrekking tot het vexatoire duidelijk buitensporige karakter van het verzoek op de voor de verwerking verantwoordelijke.

5 bis.  De lidstaten kunnen bepalen dat de betrokkene zijn recht rechtstreeks tegenover de voor de verwerking verantwoordelijke, of door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden. Indien de toezichthoudende autoriteit op verzoek van de betrokkene heeft gehandeld, wordt deze door de toezichthoudende autoriteit over de uitgevoerde verificaties ingelicht. [Am. 73]

Artikel 11

Informatieverstrekking aan de betrokkene

1.  De lidstaten zien erop toe dat wanneer persoonsgegevens worden verzameld, de voor de verwerking verantwoordelijke alle passende maatregelen treft om de betrokkene ten minste de hierna volgende informatie de verstrekken verstrekt:

a)  de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke en de functionaris voor gegevensbescherming;

b)  de rechtsgrondslag en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd;

c)  de periode gedurende welke de persoonsgegevens worden opgeslagen;

d)  het bestaan van het recht om van de voor de verwerking verantwoordelijke toegang tot en rectificatie of wissing van de persoonsgegevens betreffende de betrokkene of beperking van de verwerking van die gegevens te verlangen;

e)  het bestaan van het recht om een klacht in te dienen bij de in artikel 39 bedoelde toezichthoudende autoriteit en de contactgegevens van de toezichthoudende autoriteit;

f)  de ontvangers of categorieën ontvangers van de persoonsgegevens, ook die in derde landen of internationale organisaties en degene die tot toegang bevoegd is op grond van het recht van dat derde land of de voorschriften van die internationale organisatie, het al of niet bestaan van een besluit waarbij het beschermingsniveau door de Commissie passend wordt verklaard of in geval van doorgiften zoals bedoeld in artikel 35 of in artikel 36, de middelen om een kopie te verkrijgen van de voor de doorgifte gebruikte passende waarborgen;

f bis)  indien de voor de verwerking verantwoordelijke persoonsgegevens verwerkt zoals beschreven in artikel 9, lid 1, informatie over het bestaan van verwerking naar aanleiding van een in artikel 9, lid 1 genoemde maatregel en over de beoogde gevolgen van zulke verwerking voor de betrokkene, informatie over de aan de profilering ten grondslag liggende logica en het recht op menselijke beoordeling;

f ter)  informatie aangaande veiligheidsmaatregelen ter bescherming van persoonsgegevens;

g)  alle verdere informatie voor zover die nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verwerkt.

2.  Wanneer de persoonsgegevens bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee of de verstrekking van persoonsgegevens verplicht is dan wel op basis van vrijwilligheid geschiedt en wat de mogelijke gevolgen zijn wanneer wordt nagelaten deze gegevens te verstrekken.

3.  De voor de verwerking verantwoordelijke verstrekt de in lid 1 genoemde informatie:

a)  op het tijdstip waarop de persoonsgegevens van de betrokkene worden verkregen; of

b)  indien de persoonsgegevens niet bij de betrokkene worden verzameld, op het tijdstip van vastlegging of binnen een redelijke termijn na de verzameling, met inachtneming van de specifieke omstandigheden waaronder de gegevens worden verwerkt.

4.  De lidstaten kunnen wettelijke maatregelen treffen om de informatieverstrekking aan de betrokkene in een specifiek geval uit te stellen, of te beperken of achterwege te laten, voor zover en zolang een dergelijke gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke en evenredige maatregel is:

a)  om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)  om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen;

c)  ter bescherming van de openbare veiligheid;

d)  ter bescherming van de nationale veiligheid;

e)  ter bescherming van de rechten en vrijheden van anderen.

5.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke in elk afzonderlijk geval door middel van een concreet en individueel onderzoek beoordeelt of een gedeeltelijke of gehele beperking op grond van een van de in lid 4 genoemde redenen van toepassing is. De lidstaten kunnen bij wet tevens categorieën gegevensverwerking vaststellen die geheel of gedeeltelijk onder de in lid 4, onder a) tot en met d), genoemde uitzonderingsbepalingen vallen. [Am. 74]

Artikel 12

Recht van toegang van de betrokkene

1.  De lidstaten zien erop toe dat de betrokkene het recht heeft om van de voor de verwerking verantwoordelijke uitsluitsel te verkrijgen omtrent het al dan niet plaatsvinden van verwerking van hem of haar betreffende gegevens. Wanneer verwerkingen van dergelijke persoonsgegevens plaatsvinden, verstrekt de voor de verwerking verantwoordelijke de volgende informatie, voor zover deze nog niet is verstrekt:

—  a) de persoonsgegevens waarvan verwerking plaatsvindt en alle beschikbare informatie over de bron van die gegevens, en in voorkomend geval, begrijpelijke informatie over de bij elke geautomatiseerde verwerking gebruikte logica;

—  a bis) het belang en de verwachte gevolgen van deze verwerking, in elk geval van de in artikel 9 bedoelde maatregelen;

a)  de doeleinden van de verwerking alsmede de rechtsgrondslag voor de verwerking;

b)  de betrokken gegevenscategorieën;

c)  de ontvangers of categorieën ontvangers aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen;

d)  de periode gedurende welke de persoonsgegevens worden opgeslagen;

e)  het bestaan van het recht om van de voor de verwerking verantwoordelijke rectificatie of wissing van de persoonsgegevens betreffende de betrokkene of beperking van de verwerking van die gegevens te verlangen;

f)  het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

g)  de persoonsgegevens waarvan verwerking plaatsvindt en alle beschikbare informatie over de bron van die gegevens;

2.  De lidstaten voorzien in het recht van de betrokkene om van de voor de verwerking verantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt. Wanneer de betrokkene zijn verzoek in elektronische vorm indient, wordt de informatie elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. [Am. 75]

Artikel 13

Beperking van het recht van toegang

1.  De lidstaten kunnen wettelijke maatregelen treffen om het recht van toegang van de betrokkene in individuele gevallen, afhankelijk van het specifieke geval geheel of gedeeltelijk te beperken, voor zover en zolang een dergelijke gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en de gerechtvaardigde belangen van de persoon in kwestie, een strikt noodzakelijke en evenredige maatregel is:

a)  om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)  om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen;

c)  ter bescherming van de openbare veiligheid;

d)  ter bescherming van de nationale veiligheid;

e)  ter bescherming van de rechten en vrijheden van anderen.

2.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke in elk geval afzonderlijk door middel van een concreet en individueel onderzoek beoordeelt of een gedeeltelijke of gehele beperking op grond van een van de in lid 1 genoemde redenen van toepassing is. De lidstaten kunnen tevens bij wet categorieën gegevensverwerking vaststellen die geheel of gedeeltelijk onder de in lid 1, onder a) tot en met d), genoemde uitzonderingen vallen.

3.  De lidstaten bepalen dat, in de gevallen bedoeld in de leden 1 en 2, de voor de verwerking verantwoordelijke de betrokkene onverwijld schriftelijk de weigering of beperking van toegang en de gemotiveerde redenen voor de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen. De inlichtingen over de feitelijke of juridische redenen die aan het besluit ten grondslag liggen, kunnen achterwege blijven indien de verstrekking van die informatie een van de in lid 1 genoemde doeleinden in gevaar brengt.

4.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke de in lid 2 bedoelde beoordeling en ook de redenen documenteert voor het achterwege laten beperken van de verstrekking van de feitelijke of juridische redenen die aan het besluit ten grondslag liggen. Die informatie wordt op verzoek aan de nationale toezichthoudende autoriteiten verstrekt. [Am. 76]

Artikel 14

Modaliteiten voor de uitoefening van het recht van toegang

1.  De lidstaten voorzien in het recht van de betrokkene om te verzoeken dat allen tijde de toezichthoudende autoriteit te verzoeken de rechtmatigheid van de verwerking verifieert te verifiëren, met name in de gevallen bedoeld in artikel de artikelen 12 en 13.

2.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene inlicht over zijn recht om te verzoeken om de tussenkomst van de toezichthoudende autoriteit als bedoeld in lid 1.

3.  Indien het in lid 1 bedoelde recht wordt uitgeoefend, deelt de toezichthoudende autoriteit de betrokkene ten minste mee dat alle noodzakelijke verificaties door de toezichthoudende autoriteit zijn verricht en licht zij hem in over het resultaat daarvan wat de rechtmatigheid van de verwerking in kwestie betreft. De toezichthoudende autoriteit informeert de betrokkene tevens over zijn of haar recht om een beroep in rechte in te stellen.

3 bis.  De lidstaten kunnen bepalen dat de betrokkene dit recht rechtstreeks tegenover de voor de verwerking verantwoordelijke, of door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden.

3 ter.  De lidstaten zien erop toe dat de verwerking verantwoordelijke over een redelijke termijn beschikt om op verzoeken te reageren van de betrokkene met betrekking tot zijn of haar recht op toegang. [Am. 77]

Artikel 15

Recht van rectificatie en completering

1.  De lidstaten voorzien in het recht van de betrokkene op rectificatie of completering van hem betreffende onjuiste of niet volledige persoonsgegevens door de voor de verwerking verantwoordelijke. De betrokkene heeft recht op completering van onvolledige persoonlijke gegevens, met name door middel van een rectificerende of completerende verklaring.

2.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene schriftelijk de weigering van rectificatie of completering en de motiverende redenen van de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen.

2 bis.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke iedere ontvanger aan wie gegevens zijn verstrekt op de hoogte stelt van elke uitgevoerde rectificatie, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost.

2 ter.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke de rectificatie van de onjuiste persoonsgegevens doorgeeft aan de derden van wie de onjuiste persoonsgegevens afkomstig zijn.

2 quater.  De lidstaten bepalen dat de betrokkene dit recht tevens door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden. [Am. 78]

Artikel 16

Recht om gegevens te laten wissen

1.  De lidstaten voorzien in het recht van de betrokkene om hem of haar betreffende persoonsgegevens door de voor de verwerking verantwoordelijke te laten wissen, indien de verwerking niet voldoet aan de bepalingen die krachtens artikel de artikelen 4, onder a) tot en met e), en de artikelen 6, 7 en 8 van deze richtlijn zijn vastgesteld.

2.  De voor de verwerking verantwoordelijke wist de gegevens onverwijld. De voor de verwerking verantwoordelijke zorgt er tevens voor dat verdere verspreiding van dergelijke gegevens achterwege blijft.

3.  De voor verwerking verantwoordelijke markeert beperkt de verwerking van de persoonsgegevens in plaats van deze te wissen wanneer:

a)  de juistheid ervan door de betrokkene wordt betwist, gedurende een periode die de voor de verwerking verantwoordelijke in staat stelt de juistheid van de gegevens te verifiëren;

b)  de persoonsgegevens moeten worden bewaard om als bewijs te dienen of ter bescherming van de vitale belangen van de betrokkene of iemand anders;

c)  de betrokkene zich tegen het wissen verzet en in de plaats daarvan om beperking van het gebruik ervan verzoekt.

3 bis.  Wanneer de verwerking van persoonsgegevens op grond van artikel 3 is beperkt, informeert de voor de verwerking verantwoordelijke de betrokkene alvorens de beperking inzake de verwerking op te heffen.

4.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene schriftelijk, met een gemotiveerde onderbouwing, de weigering van wissing of markering de beperking van de verwerking en de redenen van de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen.

4 bis.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke de ontvanger van de gegevens laat weten dat gegevens gewist zijn in de zin van lid 1, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost, De voor de verwerking verantwoordelijke stelt de betrokkene op de hoogte van die derden.

4 ter.  De lidstaten kunnen bepalen dat de betrokkene dit recht rechtstreeks tegenover de voor de verwerking verantwoordelijke, of door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden. [Am. 79]

Artikel 17

Rechten van de betrokkene bij strafrechtelijke onderzoeken en procedures

De lidstaten kunnen bepalen dat, indien de persoonsgegevens zijn vervat in een rechterlijke beslissing of dossier en worden verwerkt in het kader van strafrechtelijke onderzoeken en procedures, het recht van informatie, toegang, rectificatie, wissing en beperking van de verwerking, zoals bedoeld in de artikelen 11 tot en met 16, wordt uitgeoefend overeenkomstig het nationale strafprocesrecht.

HOOFDSTUK IV

VOOR DE VERWERKING VERANTWOORDELIJKE EN VERWERKER

AFDELING 1

ALGEMENE VERPLICHTINGEN

Artikel 18

Verantwoordelijkheden van de voor de verwerking verantwoordelijke

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke beleid vaststelt en passende maatregelen uitvoert om ervoor te zorgen en te kunnen aantonen, op een transparante wijze en voor iedere verwerking, dat de verwerking van persoonsgegevens in overeenstemming met de krachtens deze richtlijn vastgestelde bepalingen wordt uitgevoerd, zowel op het tijdstip van de vaststelling van de middelen voor de verwerking als op het tijdstip van de eigenlijke verwerking.

2.  De in lid 1 bedoelde maatregelen betreffen met name:

a)  het bewaren van documentatie overeenkomstig artikel 23;

a bis)  het uitvoeren van een privacyeffectbeoordeling overeenkomstig artikel 25 bis;

b)  het voldoen aan de verplichting inzake voorafgaand overleg overeenkomstig artikel 26;

c)  het voldoen aan de in artikel 27 vastgestelde eisen inzake gegevensbeveiliging;

d)  het aanstellen van een functionaris voor gegevensbescherming overeenkomstig artikel 30.

d bis)  waar nodig, de uitwerking en toepassing van specifieke waarborgen met betrekking tot de verwerking van persoonsgegevens van kinderen.

3.  De voor de verwerking verantwoordelijke voorziet in mechanismen om ervoor te zorgen dat de adequaatheid en effectiviteit van de in lid 1 bedoelde maatregelen wordt getoetst. Indien evenredig met het doel, wordt deze toetsing uitgevoerd door onafhankelijke interne of externe controleurs. [Am. 80]

Artikel 19

Privacy by design en by default

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker, indien aanwezig, met inachtneming van de stand van de techniek, het actuele technische kennisniveau, internationale optimale praktijken en de uitvoeringskosten met de gegevensverwerking verbonden risico's, zowel ten tijde van de vaststelling van de doeleinden als van de middelen van de verwerking en ten tijde van de eigenlijke verwerking, zodanig passende technische en organisatorische maatregelen en procedures ten uitvoer legt dat de verwerking aan de voorwaarden van de krachtens deze richtlijn vastgestelde bepalingen voldoet en de bescherming van de rechten van de betrokkene waarborgt, in het bijzonder met het oog op de in artikel 4 opgenomen beginselen. Gegevensbescherming by design is met name gericht op het beheer van de hele levenscyclus van persoonsgegevens, vanaf het verzamelen tot het verwerken en verwijderen, waarbij stelselmatig aandacht wordt besteed aan allesomvattende procedurele waarborgen met betrekking tot de nauwkeurigheid, de vertrouwelijkheid, de integriteit, de fysieke veiligheid en de verwijdering van persoonsgegevens. Wanneer de voor de verwerking verantwoordelijke ingevolge artikel 25 bis een privacyeffectbeoordeling heeft uitgevoerd, worden de resultaten daarvan in acht genomen bij de ontwikkeling van die maatregelen en procedures.

2.  De voor de verwerking verantwoordelijke voorziet in mechanismen om te waarborgen zorgt ervoor dat in beginsel alleen die persoonsgegevens worden verwerkt die voor de doeleinden elk specifiek doeleinde van de verwerking nodig zijn en dat in het bijzonder het verzamelen, bewaren of verspreiden van die gegevens zich, zowel wat betreft de hoeveelheid gegevens als de periode van opslag daarvan, beperkt tot dat wat voor die doeleinden strikt noodzakelijk is. Deze mechanismen zorgen er met name voor dat persoonsgegevens in beginsel niet voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt en dat de betrokkenen controle hebben over de verspreiding van hun persoonsgegevens. [Am. 81]

Artikel 20

Gezamenlijk voor de verwerking verantwoordelijken

1.  De lidstaten bepalen dat wanneer een voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking van persoonsgegevens samen met anderen vaststelt, de gezamenlijk voor de verwerking verantwoordelijken door middel van een onderlinge regeling juridisch bindende overeenkomst moeten vaststellen wat hun respectieve verantwoordelijkheden zijn voor de naleving van de krachtens deze richtlijn vastgestelde bepalingen, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van de betrokkene.

2.  Tenzij de betrokkene bekend is gemaakt wie van de gezamenlijk voor de verwerking verantwoordelijken ingevolge lid 1 verantwoordelijk is, kan de betrokkene zijn of haar rechten uit hoofde van deze richtlijn met betrekking tot en jegens ieder van de twee of meer gezamenlijk voor de verwerking verantwoordelijken uitoefenen. [Am. 82]

Artikel 21

Verwerker

1.  De lidstaten bepalen dat wanneer een verwerking namens een voor de verwerking verantwoordelijke wordt uitgevoerd, de voor de verwerking verantwoordelijke een verwerker kiest die voldoende waarborgen biedt voor de tenuitvoerlegging van passende technische en organisatorische maatregelen en procedures op dusdanige wijze dat de verwerking aan de vereisten van de krachtens deze richtlijn vastgestelde bepalingen voldoet en de bescherming van de rechten van de betrokkene waarborgt, met name met betrekking tot de technische beveiligingsmaatregelen en de organisatorische maatregelen inzake de te verrichten verwerking, en die ervoor zorgt dat deze maatregelen in acht worden genomen.

2.  De lidstaten bepalen dat de uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of door een rechtshandeling die de verwerker ten opzichte van de voor de verwerking verantwoordelijke bindt en waarin met name wordt bepaald dat de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke, met name wanneer de doorgifte van gegevens is verboden. :

a)  slechts handelt in opdracht van de voor de verwerking verantwoordelijke;

b)  uitsluitend personeel in dienst neemt dat zich tot geheimhouding heeft verplicht of een wettelijke geheimhoudingsplicht heeft;

c)  alle uit hoofde van artikel 27 vereiste maatregelen neemt;

d)  een andere verwerker uitsluitend met toestemming van de voor de verwerking verantwoordelijke in de arm neemt en de voor de verwerking verantwoordelijke derhalve tijdig informeert over zijn voornemen om een andere verwerker in de arm te nemen, zodat de voor de verwerking verantwoordelijke hiertegen bezwaar kan maken;

e)  voor zover dit gelet op de aard van de verwerking mogelijk is, met goedkeuring van de voor de verwerking verantwoordelijke de nodige technische en organisatorische voorwaarden schept waardoor de voor de verwerking verantwoordelijke zijn verplichting te voldoen aan de verzoeken tot uitoefening van de in hoofdstuk III neergelegde rechten van de betrokkene, kan nakomen;

f)  de voor de verwerking verantwoordelijke bijstaat om ervoor te zorgen de verplichtingen uit hoofde van de artikelen 29 tot en met 34 worden nagekomen;

g)  de voor de verwerking verantwoordelijke na de beëindiging van de verwerking alle resultaten teruggeeft, de persoonsgegevens niet anderszins verwerkt en bestaande kopieën verwijdert, tenzij het recht van de Unie of het recht van de lidstaat vereist dat de gegevens worden opgeslagen;

h)  de voor de verwerking verantwoordelijke en de toezichthoudende autoriteit alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen te controleren;

i)  de beginselen inzake privacy by design en gegevensbescherming by default in acht neemt.

2 bis.  De voor de verwerking verantwoordelijke en de verwerker leggen de instructies van de voor de verwerking verantwoordelijke en de verplichtingen van de verwerker die in lid 2 zijn genoemd, vast in een document.

3.  Wanneer een verwerker persoonsgegevens verwerkt anders dan in opdracht van de voor de verwerking verantwoordelijke, wordt de verwerker met betrekking tot die verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de in artikel 20 neergelegde regels voor gemeenschappelijk voor de verwerking verantwoordelijken gelden. [Am. 83]

Artikel 22

Verwerking onder gezag van de voor de verwerking verantwoordelijke en de verwerker

1.   De lidstaten bepalen dat de verwerker en eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker en toegang heeft tot de persoonsgegevens, deze slechts mag verwerken in opdracht van de voor de verwerking verantwoordelijke, of wanneer hij op grond van het recht van de Unie of het recht van de lidstaat tot de verwerking verplicht is.

1 bis.  Indien de verwerker degene is of wordt die de doeleinden, middelen of methoden voor de verwerking van persoonsgegevens bepaalt, of indien hij niet uitsluitend in opdracht van de voor de verwerking verantwoordelijke handelt, wordt hij beschouwd als een gezamenlijk voor de verwerking verantwoordelijke overeenkomstig artikel 20. [Am. 84]

Artikel 23

Documentering

1.  De lidstaten bepalen dat iedere voor de verwerking verantwoordelijke en iedere verwerker documentatie bijhoudt inzake alle verwerkingssystemen en ‑procedures die onder hun verantwoordelijkheid vallen.

2.  In de documentatie worden ten minste de volgende gegevens opgenomen:

a)  de naam en de contactgegevens van de voor de verwerking verantwoordelijke en de eventuele gemeenschappelijk voor de verwerking verantwoordelijke of verwerker;

a bis)  de juridisch bindende overeenkomst, in geval van gezamenlijk voor de verwerking verantwoordelijken; de lijst met verwerkers en de door hen uitgevoerde activiteiten;

b)  de doeleinden van de verwerking;

b bis)  de onderdelen van de organisatie van de voor de verwerking verantwoordelijke of van de verwerker die belast zijn met de verwerking van persoonsgegevens voor een specifiek doeleinde;

b ter)  de beschrijving van de categorie of categorieën betrokkenen en van de gegevens of categorieën gegevens die op hen betrekking hebben;

c)  de ontvangers of categorieën ontvangers van de persoonsgegevens;

c bis)  in voorkomend geval informatie over het bestaan van profilering, van maatregelen op basis van profilering en van mechanismen om bezwaar te maken tegen profilering;

c ter)  begrijpelijke informatie over de logica die aan de geautomatiseerde gegevensverwerking ten grondslag ligt;

d)  het feit dat gegevens zijn doorgegeven naar een derde land of een internationale organisatie, met vermelding van de naam van dat derde land of internationale organisatie. en de rechtsgronden op basis waarvan de gegevens worden doorgegeven; een inhoudelijke toelichting wordt gegeven wanneer de doorgifte is gebaseerd op artikel 35 of artikel 36 van deze richtlijn;

d bis)  de termijnen waarbinnen de verschillende categorieën gegevens worden gewist;

d ter)  de resultaten van de verificaties van de in artikel 18, lid 1, bedoelde maatregelen;

d quater)  een aanwijzing betreffende de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn.

3.  De voor de verwerking verantwoordelijke en de verwerker stellen de alle documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit. [Am. 85]

Artikel 24

Bijhouden van registratie

1.  De lidstaten zien erop toe dat een registratie wordt bijgehouden van ten minste de volgende verwerkingsactiviteiten: verzameling, wijziging, raadpleging, verstrekking, combinatie of wissing. Bij de registratie van raadpleging en verstrekking wordt met name het doel, de datum en het tijdstip van die handeling aangegeven en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of verstrekt en de identiteit van de ontvangers van deze gegevens.

2.  De registratie wordt uitsluitend gebruikt om te controleren of de gegevensverwerking rechtmatig is, om interne controle uit te oefenen en om de integriteit en de beveiliging van de gegevens te waarborgen, of voor controles door de functionaris voor gegevensbescherming of de gegevensbeschermingsautoriteit.

2 bis.  De voor de verwerking verantwoordelijke en de verwerker stellen de registratie desgevraagd ter beschikking van de toezichthoudende autoriteit. [Am. 86]

Artikel 25

Verlening van medewerking aan de toezichthoudende autoriteit

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker desgevraagd medewerking verlenen aan de toezichthoudende autoriteit bij de uitoefening van haar taken, met name door haar alle de in artikel 46, lid 2, onder a) bedoelde informatie te verstrekken die zij voor de vervulling van en door haar taken nodig heeft toegang te verlenen zoals bepaald in artikel 46, lid 2, onder b).

2.  Wanneer de toezichthoudende autoriteit haar bevoegdheden uit hoofde van artikel 46, lid 1, onder a) en b), uitoefent, antwoorden de voor de verwerking verantwoordelijke en de verwerker de toezichthoudende autoriteit binnen een redelijke, door de toezichthoudende autoriteit te bepalen termijn. Het antwoord omvat een beschrijving van de in aansluiting op de opmerkingen van de toezichthoudende autoriteit genomen maatregelen en behaalde resultaten. [Am. 87]

Artikel 25 bis

Privacyeffectbeoordeling

1.  De lidstaten bepalen dat, wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden waarschijnlijk specifieke risico's inhouden voor de rechten en vrijheden van de betrokkenen, de voor de verwerking verantwoordelijke of de verwerker die namens de verwerking verantwoordelijke optreedt, alvorens nieuwe verwerkingen te verrichten of, in het geval van lopende verwerkingen, zo spoedig mogelijk, een beoordeling uitvoert van het effect van de beoogde of verwerkingssystemen en -procedures op de bescherming van persoonsgegevens.

2.  Met name de volgende verwerkingen kunnen de in lid 1 bedoelde specifieke risico's inhouden:

a)  de verwerking van persoonsgegevens in grote bestanden met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

b)  de verwerking van bijzondere categorieën persoonsgegevens als bedoeld in artikel 8, van persoonsgegevens met betrekking tot kinderen en biometrische gegevens en gegevens over de verblijfplaats met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

c)  een beoordeling van aspecten van de persoonlijkheid van een natuurlijke persoon om met name zijn gedrag te analyseren of te voorspellen, die is gebaseerd op geautomatiseerde verwerking en die waarschijnlijk maatregelen met zich meebrengt, waaraan voor die persoon rechtsgevolgen zijn verbonden of die hem in aanzienlijke mate treffen;

d)  de bewaking van openbaar toegankelijke ruimten, met name wanneer optisch-elektronische apparatuur (videobewaking) wordt gebruikt; of

e)  andere verwerkingen waarvoor op grond van artikel 26, lid 1, de toezichthoudende autoriteit moet worden geraadpleegd.

3.  De beoordeling bevat ten minste:

a)  een stelselmatige beschrijving van de beoogde verwerkingen;

b)  een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot het doel;

c)  een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen en de maatregelen die worden beoogd om de risico’s te beperken en de omvang van de verwerkte persoonsgegevens;

d)  de beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens waarborgen en bewijs leveren voor naleving van de op grond van deze richtlijn vastgestelde bepalingen, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen;

e)  een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens worden gewist;

f)  in voorkomend geval, een lijst van de voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 36, lid 2, bedoelde doorgiften, de documenten inzake de passende waarborgen.

4.  Indien de voor de verwerking verantwoordelijke of de verwerker een functionaris voor gegevensbescherming heeft aangewezen, wordt deze betrokken bij de uitvoering van de effectbeoordelingen.

5.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke een openbare raadpleging houdt over de beoogde verwerking, zonder afbreuk te doen aan de bescherming van het algemeen belang of de veiligheid van de verwerkingen.

6.  De beoordeling wordt in een gemakkelijk toegankelijke vorm aan het publiek ter beschikking gesteld, zonder afbreuk te doen aan de bescherming van het algemeen belang of de veiligheid van de verwerkingen.

7.  De Commissie is bevoegd om, na het Europees Comité voor gegevensbescherming om advies te hebben gevraagd, overeenkomstig artikel 56 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor verwerkingen die waarschijnlijk de in de leden 1 en 2 bedoelde specifieke risico’s inhouden, en van de vereisten voor de in lid 3 bedoelde beoordeling, met inbegrip van de voorwaarden voor uitbreidbaarheid en interne en externe toetsing. [Am. 88]

Artikel 26

Voorafgaande raadpleging van de toezichthoudende autoriteit

1.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke of de verwerker de toezichthoudende autoriteit raadpleegt voordat persoonsgegevens, die in een nieuw bestand zullen worden opgenomen, worden verwerkt, om ervoor te zorgen dat de beoogde verwerking voldoet aan de bepalingen van deze richtlijn en met name om de hieraan verbonden risico's voor de betrokkene te beperken, wanneer:

a)  bijzondere categorieën gegevens als bedoeld in artikel 8 worden verwerkt; een privacyeffectbeoordeling als bedoeld in artikel 25 bis aangeeft dat verwerkingen vanwege hun aard, hun reikwijdte en/of hun doeleinden waarschijnlijk grote specifieke risico’s met zich brengen; of

b)  de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, anderszins specifieke risico’s met zich meebrengt voor de grondrechten en fundamentele vrijheden van de betrokkene, in het bijzonder zijn recht op bescherming van persoonsgegevens de toezichthoudende autoriteit het nodig acht om vooraf tot raadpleging over te gaan over specifieke verwerkingen die naar hun aard, hun reikwijdte of hun doeleinden waarschijnlijk specifieke risico’s voor de rechten en vrijheden van betrokkenen met zich mee brengen.

1 bis.  Wanneer de toezichthoudende autoriteit overeenkomstig haar bevoegdheid vaststelt dat de voorgenomen verwerking niet aan de bepalingen van deze richtlijn voldoet, met name wanneer de risico’s onvoldoende zijn vastgesteld of beperkt, verbiedt zij de voorgenomen verwerking en doet zij passende voorstellen om alsnog aan deze richtlijn te voldoen.

2.  De lidstaten kunnen bepalen dat de toezichthoudende autoriteit, na raadpleging van het Europees Comité voor gegevensbescherming, een lijst opstelt van verwerkingen waarvoor overeenkomstig lid 1, onder b), voorafgaande raadpleging moet plaatsvinden.

2 bis.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke of de verwerker de toezichthoudende autoriteit de in artikel 25 bis bedoelde privacyeffectbeoordeling verstrekt en, op verzoek, alle andere informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico’s voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

2 ter.  Wanneer de toezichthoudende autoriteit van mening is dat de voorgenomen verwerking niet aan de bepalingen van deze richtlijn voldoet, of dat de risico’s onvoldoende zijn vastgesteld of beperkt, doet zij passende voorstellen om alsnog aan deze richtlijn te voldoen.

2 quater.  De lidstaten kunnen de toezichthoudende autoriteit raadplegen bij de voorbereiding van een door het nationale parlement vast te stellen wettelijke maatregel of een op een dergelijke wettelijke maatregel gebaseerde maatregel die de aard van de verwerking bepaalt, teneinde ervoor te zorgen dat de voorgenomen verwerking aan deze richtlijn voldoet en met name de betrokken risico’s voor de betrokkenen te beperken. [Am. 89]

AFDELING 2

GEGEVENSBEVEILIGING

Artikel 27

Beveiliging van de verwerking

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen en procedures toepassen om, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, een passend beveiligingsniveau te waarborgen, waarbij rekening wordt gehouden met de stand van de techniek en met de kosten van uitvoering van de maatregelen en procedures.

2.  Elke lidstaat bepaalt ten aanzien van de geautomatiseerde verwerking van gegevens dat de voor de verwerking verantwoordelijke of de verwerker, na beoordeling van de risico’s, maatregelen treft om:

a)  te verhinderen dat onbevoegden toegang krijgen tot apparatuur voor de verwerking van persoonsgegevens (controle op de toegang tot de apparatuur);

b)  te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen (controle op de gegevensdragers);

c)  te verhinderen dat onbevoegden gegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen (opslagcontrole);

d)  te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur (gebruikerscontrole);

e)  ervoor te zorgen dat degenen die bevoegd zijn een systeem voor geautomatiseerde gegevensverwerking te gebruiken, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft (controle op de toegang tot de gegevens);

f)  ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden verstrekt of beschikbaar gesteld met behulp van datatransmissieapparatuur (transmissiecontrole);

g)  ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in een geautomatiseerd gegevensverwerkingssysteem zijn ingevoerd (invoercontrole);

h)  te voorkomen dat onbevoegden de persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers (vervoerscontrole);

i)  ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw ingezet kunnen worden (herstel);

j)  ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen gesignaleerd worden (betrouwbaarheid) en dat opgeslagen persoonsgegevens niet door verkeerd functioneren van het systeem beschadigd kunnen worden (integriteit);

j bis) te waarborgen dat ingeval van verwerking van gevoelige persoonsgegevens overeenkomstig artikel 8 bijkomende veiligheidsmaatregelen getroffen zijn om te zorgen voor omgevingsbewustzijn over de risico's en voor de mogelijkheid om bijna real-time preventieve, corrigerende en beperkende maatregelen te treffen in geval van detectie van kwetsbare plekken of incidenten die een bedreiging kunnen vormen voor de gegevens.

2 bis.  De lidstaten bepalen dat verwerkers alleen kunnen worden aangewezen indien zij garanderen de vereiste technische en organisatorische maatregelen van lid 1 te treffen en de instructies van artikel 21, lid 2, onder a), te zullen opvolgen. De bevoegde autoriteit ziet erop toe dat de verwerker hieraan voldoet.

3.  De Commissie kan zo nodig uitvoeringshandelingen vaststellen om de in de leden 1 en 2 vastgestelde vereisten voor verschillende situaties vast te leggen, met name de normen voor versleuteling. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure. [Am. 90]

Artikel 28

Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke in geval van een inbreuk in verband met persoonsgegevens deze inbreuk zonder onnodige vertraging meldt aan de toezichthoudende autoriteit, zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen. Wanneer de melding niet binnen 24 uur plaatsvindt er vertraging optreedt, doet de voor de verwerking verantwoordelijke desgevraagd de melding vergezeld gaan van een motivering.

2.  De verwerker waarschuwt en informeert de voor de verwerking verantwoordelijke onmiddellijk nadat hij kennis heeft gekregen zonder onnodige vertraging na de vaststelling van een inbreuk in verband met persoonsgegevens.

3.  De in lid 1 bedoelde melding bevat ten minste:

a)  een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en de categorieën en aantallen gegevensrecords;

b)  de vermelding van de identiteit en de contactgegevens van de in artikel 30 bedoelde functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

c)  aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen;

d)  een omschrijving van de mogelijke gevolgen van de inbreuk in verband met persoonsgegevens;

e)  een omschrijving van de maatregelen die de voor de verwerking verantwoordelijke voorstelt of heeft genomen om de inbreuk in verband met persoonsgegevens aan te pakken en de gevolgen ervan te beperken.

Indien niet alle informatie zonder onnodige vertraging kan worden verstrekt, kan de voor de verwerking verantwoordelijke de melding in een tweede fase completeren.

4.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle inbreuken op persoonsgegevens documenteert, met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen. Deze documentatie moet moeten afdoende zijn om de toezichthoudende autoriteit in staat te stellen om de naleving van dit artikel te controleren. De documentatie omvat uitsluitend de voor dat doel noodzakelijke informatie.

4 bis.  De toezichthoudende autoriteit houdt een openbaar register bij van alle soorten gemelde inbreuken.

5.  De Commissie is bevoegd om, na het Europees Comité voor gegevensbescherming om advies te hebben gevraagd, overeenkomstig artikel 56 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de vaststelling van de in de leden 1 en 2 bedoelde inbreuk in verband met persoonsgegevens en voor de specifieke omstandigheden waarin een voor de verwerking verantwoordelijke en een verwerker verplicht is zijn de inbreuk in verband met persoonsgegevens te melden.

6.  De Commissie kan het standaardformaat vaststellen voor deze melding aan de toezichthoudende autoriteit alsmede de op het meldingsvereiste toepasselijke procedures en de vorm en de modaliteiten van de in lid 4 bedoelde documentatie, met inbegrip van de termijnen voor het wissen van de daarin opgenomen informatie. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure. [Am. 91]

Artikel 29

Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.  De lidstaten bepalen dat wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens negatieve gevolgen voor de bescherming van de persoonsgegevens, of de persoonlijke levenssfeer, de rechten of de gerechtvaardigde belangen van de betrokkene heeft, de voor de verwerking verantwoordelijke, na de in artikel 28 bedoelde melding, de betrokkene zonder onnodige vertraging over de inbreuk in verband met persoonsgegevens inlicht.

2.  De in lid 1 bedoelde mededeling aan de betrokkene is uitgebreid en in duidelijke en eenvoudige taal geschreven. Deze bevat een omschrijving van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 28, lid 3, onder b) en in artikel 28, lid 3, onder b), c), en d), voorgeschreven informatie en aanbevelingen en informatie over de rechten van de betrokkenen, met inbegrip van het recht op beroep.

3.  Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene is niet vereist wanneer de voor de verwerking verantwoordelijke tot voldoening van de toezichthoudende autoriteit aantoont dat hij passende technische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft. Dergelijke technologische beschermingsmaatregelen moeten de gegevens onbegrijpelijk maken voor eenieder die geen recht op toegang daartoe heeft.

3 bis.  Onverminderd de verplichting van de voor de verwerking verantwoordelijke om de inbreuk in verband met persoonsgegevens aan de betrokkene te melden, kan de toezichthoudende autoriteit, na de waarschijnlijkheid van negatieve gevolgen van de inbreuk te hebben overwogen, de voor de verwerking verantwoordelijke gelasten de inbreuk in verband met persoonsgegevens aan de betrokkene te melden wanneer deze laatste dat nog niet heeft gedaan.

4.  De mededeling aan de betrokkene kan worden uitgesteld, of worden beperkt of achterwege gelaten om de redenen bedoeld in artikel 11, lid 4. [Am. 92]

AFDELING 3

FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 30

Aanstelling van de functionaris voor gegevensbescherming

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker een functionaris voor gegevensbescherming aanwijzen.

2.  De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 32 bedoelde taken te vervullen. Het vereiste niveau van deskundigheid wordt met name bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die door de voor de verwerking verantwoordelijke of de verwerker verwerkte gegevens vereist is.

2 bis.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker ervoor zorgen dat alle andere beroepswerkzaamheden van de functionaris voor gegevensbescherming verenigbaar zijn met zijn taken en verplichtingen als functionaris voor gegevensbescherming en niet tot een belangenconflict leiden.

2 ter.  De functionaris voor gegevensbescherming wordt voor een termijn van ten minste vier jaar benoemd. De functionaris voor gegevensbescherming kan worden herbenoemd. Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.

2 quater.  De lidstaten bepalen dat de betrokkene het recht heeft om contact op te nemen met de functionaris voor gegevensbescherming over alle aangelegenheden die te maken hebben met de verwerking van zijn persoonsgegevens.

3.  De functionaris voor gegevensbescherming kan worden aangewezen voor meer dan een entiteit, rekening houdende met de organisatiestructuur van de bevoegde autoriteit.

3 bis.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke of de verwerker de naam en de contactgegevens van de functionaris voor gegevensbescherming aan de toezichthoudende autoriteit en het publiek meedeelt. [Am. 93]

Artikel 31

Positie van de functionaris voor gegevensbescherming

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker ervoor zorgen dat de functionaris voor gegevensbescherming tijdig en naar behoren wordt betrokken bij alle aangelegenheden die betrekking hebben op de bescherming van persoonsgegevens.

2.  De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming de middelen krijgt om zijn plichten en taken uit hoofde van artikel 32 doeltreffend en onafhankelijk te vervullen en geen instructies ontvangt met betrekking tot de uitoefening van de taak.

2 bis.  De voor de verwerking verantwoordelijke of de verwerker ondersteunt de functionaris voor gegevensbescherming bij de vervulling van zijn taken en zorgt voor personeel, kantoren, uitrusting, regelmatige bijscholing en alle andere middelen die nodig zijn voor de vervulling van de in artikel 32 bedoelde plichten en taken, en om zijn professionele kennis op peil te houden. [Am. 94]

Artikel 32

Taken van de functionaris voor gegevensbescherming

De lidstaten bepalen dat de voor de verwerking verantwoordelijke of de verwerker de functionaris voor gegevensbescherming ten minste de volgende taken opdragen:

a)  het bewust maken, informeren en adviseren van de voor de verwerking verantwoordelijke en de verwerker over hun verplichtingen op grond van deze richtlijn, met name wat betreft technische en organisatorische maatregelen en procedures, en en het documenteren van deze activiteit en de ontvangen antwoorden;

b)  het toezicht houden op de uitvoering en toepassing van het beleid met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

c)  het toezicht houden op de uitvoering en de toepassing van de krachtens deze richtlijn vastgestelde bepalingen, met name met betrekking tot de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen;

d)  ervoor zorgen dat de in artikel 23 bedoelde documentatie wordt bijgehouden;

e)  het toezicht houden op de documentering en melding van inbreuken op persoonsgegevens overeenkomstig de artikelen 28 en 29;

f)  het toezicht houden op de uitvoering van de privacyeffectbeoordeling door de voor de verwerking verantwoordelijke of de verwerker en op het verzoek aan de toezichthoudende autoriteit om voorafgaande raadpleging, voor zover daartoe op grond van artikel 26, lid 1, een verplichting bestaat;

g)  het nagaan van het gevolg dat aan verzoeken van de toezichthoudende autoriteit is gegeven en het, binnen de grenzen van de bevoegdheid van de functionaris voor gegevensbescherming, samenwerken met de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de functionaris voor gegevensbescherming;

h)  het optreden als contactpunt voor de toezichthoudende autoriteit voor aangelegenheden in verband met de verwerking en het, in voorkomend geval, op eigen initiatief van de functionaris voor gegevensbewerking raadplegen van de toezichthoudende autoriteit. [Am. 95]

HOOFDSTUK V

DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 33

Algemene beginselen inzake doorgiften van persoonsgegevens

1.  De lidstaten bepalen dat de bevoegde autoriteiten persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte naar een derde land of naar een internationale organisatie te worden verwerkt, waaronder verdere doorgiften naar een ander derde land of een andere internationale organisatie, slechts mogen doorgeven indien:

a)  de betreffende doorgifte noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen; en alsmede

a bis)  de gegevens worden doorgegeven aan een voor de verwerking verantwoordelijke in een derde land of in een internationale organisatie die een bevoegde autoriteit is voor de doeleinden als vermeld in artikel 1, lid 1; alsmede

a ter)  de in dit hoofdstuk neergelegde voorwaarden door de voor de verwerking verantwoordelijke en de verwerker worden nageleefd, met inbegrip van de voorwaarden voor doorgiften van persoonsgegevens door een derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie; alsmede

b)  de in dit hoofdstuk neergelegde overige krachtens deze richtlijn vastgestelde voorwaarden bepalingen door de voor de verwerking verantwoordelijke en de verwerker worden nageleefd. ; alsmede

b bis)  het niveau van de bescherming van persoonsgegevens van natuurlijke personen in de Unie dat met deze richtlijn wordt gewaarborgd, niet wordt aangetast; alsmede

b ter)  de Commissie overeenkomstig de voorwaarden en de procedure als bedoeld in artikel 34, heeft besloten dat het betreffende derde land of de betreffende internationale organisatie een passend beschermingsniveau biedt; of

b quater)  in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens zijn geboden, als bedoeld in artikel 35.

2.  De lidstaten bepalen dat verdere doorgiften overeenkomstig lid 1 van dit artikel uitsluitend mogen plaatsvinden indien, in aanvulling op de in dat lid opgenomen voorwaarden:

a)  de verdere doorgifte noodzakelijk is voor hetzelfde specifieke doel als de oorspronkelijke doorgifte; alsmede

b)  de bevoegde autoriteit die de oorspronkelijke doorgifte heeft uitgevoerd, de verdere doorgifte goedkeurt. [Am. 96]

Artikel 34

Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard

1.  De lidstaten bepalen dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie kan plaatsvinden, wanneer de Commissie overeenkomstig artikel 41 van Verordening (EU) ..../2012 of overeenkomstig lid 3 van dit artikel heeft besloten dat het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen verdere specifieke toestemming nodig.

2.  Wanneer er geen overeenkomstig artikel 41 van Verordening (EU) ..../2012 vastgesteld besluit bestaat, beoordeelt de Commissie Bij de beoordeling van de vraag of er een passend beschermingsniveau is, waarbij zij houdt de Commissie rekening houdt met de volgende aspecten:

a)  de rechtsstaat, de relevante geldende algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht, alsook de uitvoering van deze wetgeving en de de veiligheidsmaatregelen die in dat land of door die internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsook het bestaan van effectieve en afdwingbare rechten, waaronder effectieve mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven;

b)  het bestaan en de effectieve werking van een of meer onafhankelijke toezichthoudende autoriteiten in het betrokken land of de betrokken internationale organisatie, die belast zijn met het toezicht op de naleving van de gegevensbeschermingsregels, waaronder toereikende sanctiebevoegdheden, het bijstaan en het adviseren van betrokkenen bij de uitoefening van hun rechten en de samenwerking met de toezichthoudende autoriteiten van de Unie en de lidstaten; alsmede

c)  de internationale verbintenissen die het betrokken derde land of de betrokken internationale organisatie is aangegaan, met name juridisch bindende conventies of instrumenten met betrekking tot de bescherming van persoonsgegevens.

3.  De Commissie kan is bevoegd binnen de werkingssfeer van deze richtlijn bij besluit vaststellen, na het Europees Comité om advies te hebben gevraagd, overeenkomstig artikel 56 gedelegeerde handelingen vast te stellen om te besluiten dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 waarborgt. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure.

4.  In de gedelegeerde uitvoeringshandeling worden het geografische en het sectorale toepassingsgebied vastgelegd en, in voorkomend geval, de in lid 2, onder b), genoemde toezichthoudende autoriteit vermeld.

4 bis.  De Commissie volgt doorlopend de ontwikkelingen die van invloed kunnen zijn op de inachtneming van de in lid 2 genoemde aspecten in derde landen en bij internationale organisaties, in verband waarmee overeenkomstig lid 3 een gedelegeerde handeling is vastgesteld.

5.  De Commissie kan is bevoegd overeenkomstig artikel 56, binnen de werkingssfeer van deze richtlijn, bij besluit vaststellen gedelegeerde handelingen vast te stellen om te besluiten dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie geen passend beschermingsniveau in de zin van lid 2 waarborgt, met name in de gevallen waarin de relevante algemene en sectorale wetgeving die in het betrokken derde land of de betrokken internationale organisatie geldt, geen effectieve en afdwingbare rechten waarborgt, waaronder mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor betrokkenen wier persoonsgegevens worden doorgegeven. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden voor het recht van natuurlijke personen op bescherming van hun persoonsgegevens, volgens de in artikel 57, lid 3, bedoelde procedure.

6.  De lidstaten zien erop toe dat wanneer de Commissie overeenkomstig lid 5 een besluit vaststelt, alle doorgiften van persoonsgegevens naar het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie worden verboden; dit besluit laat de doorgiften op grond van artikel 35, lid 1, of overeenkomstig artikel 36 onverlet. De Commissie pleegt ten gepaste tijde overleg met het derde land of de internationale organisatie ter verhelping van de situatie die voortvloeit uit het besluit dat overeenkomstig lid 5 is vastgesteld.

7.  De Commissie maakt in het Publicatieblad van de Europese Unie een lijst bekend van de derde landen, gebieden en verwerkingssectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld of er al dan niet een passend beschermingsniveau gewaarborgd is.

8.  De Commissie ziet toe op de toepassing van de in de leden 3 en 5 bedoelde uitvoeringshandelingen gedelegeerde handelingen. [Am. 97]

Artikel 35

Doorgiften op basis van passende garanties

1.  Wanneer de Commissie geen besluit overeenkomstig artikel 34 heeft vastgesteld, bepalen de lidstaten of indien zij bij besluit vaststelt dat een doorgifte derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau in de zin van artikel 34, lid 5, waarborgt, kan een voor de verwerking verantwoordelijke of een verwerker geen persoonsgegevens naar een ontvanger in een derde land of een internationale organisatie kan plaatsvinden indien doorgeven, tenzij hij in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens biedt.

a)  in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens zijn geboden; of

b)  de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de doorgifte van persoonsgegevens heeft beoordeeld en geconcludeerd heeft dat er passende waarborgen bestaan voor de bescherming van persoonsgegevens.

2.   . Het besluit tot doorgiften op grond van lid 1, onder b), moet worden vastgesteld door naar behoren bevoegd personeel. Deze doorgiften moeten worden gedocumenteerd en de documentatie moet op verzoek aan de behoeven voorafgaande goedkeuring van toezichthoudende autoriteit worden verstrekt. [Am. 98]

Artikel 36

Afwijkingen

1.  Wanneer de Commissie uit hoofde van artikel 34 lid 5 een besluit vaststelt dat er geen passend beschermingsniveau is, blijft doorgifte van persoonsgegevens aan het betrokken derde land, of aan de betrokken internationale organisatie achterwege, voorzover ook in het individuele geval de gerechtvaardigde belangen van de betrokkene bij een doorgifteverbod prevaleren boven een bijzonder algemeen belang bij doorgifte van de gegevens.

2.  In afwijking van de artikelen 34 en 35 bepalen de lidstaten dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie slechts kan plaatsvinden op voorwaarde dat:

a)  de doorgifte noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of van een andere persoon; of

b)  de doorgifte noodzakelijk is ter vrijwaring van de rechtmatige belangen van de betrokkene, wanneer het recht van de lidstaat vanuit welke de doorgifte van persoonsgegevens plaatsvindt, aldus bepaalt; of

c)  de doorgifte van de gegevens van wezenlijk belang is ter voorkoming van een onmiddellijke en ernstige bedreiging voor de openbare veiligheid van een lidstaat of een derde land; of

d)  de doorgifte in afzonderlijke gevallen noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen; of

e)  de doorgifte in afzonderlijke gevallen noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte in verband met de preventie, het onderzoek, de opsporing of de vervolging van een specifiek strafbaar feit of de tenuitvoerlegging van een specifieke straf.

2 bis.  Voor verwerking op grond van lid 2 is een in het Unierecht vastgelegde rechtsgrondslag, of een rechtsgrondslag vastgelegd in het recht waaraan de voor de verwerking verantwoordelijk onderworpen is, vereist; dat recht moet voldoen aan een doelstelling van algemeen belang of is noodzakelijk om de rechten en vrijheden van anderen te beschermen, eerbiedigt de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens en staat in verhouding tot het nagestreefde rechtmatige doel.

2 ter.  Alle doorgiften van persoonsgegevens waartoe is besloten op basis van een uitzondering, zijn naar behoren gerechtvaardigd en beperkt tot het strikt noodzakelijke; massale, frequente doorgiften van persoonsgegevens zijn niet toegestaan.

2 quater.  Het besluit tot doorgiften op grond van lid 2 moet worden vastgesteld door naar behoren gemachtigd personeel. Deze doorgiften worden gedocumenteerd en de documentatie wordt desgevraagd ter beschikking gesteld van de toezichthoudende autoriteit, met inbegrip van de datum en tijd van doorgifte, informatie over de ontvangende autoriteit, de reden voor de doorgiften de doorgegeven gegevens zelf. [Am. 99]

Artikel 37

Specifieke voorwaarden voor de doorgifte van persoonsgegevens

De lidstaten bepalen dat de voor de verwerking verantwoordelijke de ontvanger van de persoonsgegevens inlicht over eventuele beperkingen voor de verwerking en alle redelijke maatregelen neemt om te waarborgen dat deze beperkingen worden nageleefd. De voor de verwerking verantwoordelijke licht de ontvanger van de persoonsgegevens tevens in als die gegevens worden bijgewerkt, gerectificeerd of gewist, waarbij de ontvanger die kennisgeving op dezelfde manier verwerkt als bij een nieuwe doorgifte. [Am. 100]

Artikel 38

Internationale samenwerking voor de bescherming van persoonsgegevens

1.  Ten aanzien van derde landen en internationale organisaties nemen de Commissie en de lidstaten de nodige maatregelen om:

a)  procedures voor effectieve internationale samenwerking te ontwikkelen, zodat de handhaving van het recht inzake de bescherming van persoonsgegevens wordt vergemakkelijkt gewaarborgd; [Am. 101]

b)  internationale wederzijdse bijstand te bieden bij de handhaving van het recht inzake de bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand in onderzoeken en uitwisseling van informatie, voor zover passende garanties voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan;

c)  belanghebbenden bij besprekingen en activiteiten te betrekken om de internationale samenwerking bij de handhaving van het recht inzake de bescherming van persoonsgegevens te bevorderen;

d)  het uitwisselen en het documenteren van het recht en de praktijken inzake de bescherming van persoonsgegevens te bevorderen;

d bis)  opheldering te verschaffen en overleg te plegen over geschillen met derde landen inzake jurisdictie. [Am. 102]

2.  Met het oog op de toepassing van lid 1 neemt de Commissie de nodige maatregelen om de betrekkingen met derde landen of internationale organisaties, en met name hun toezichthoudende autoriteiten, te bevorderen, wanneer zij overeenkomstig artikel 34, lid 3, bij besluit heeft vastgesteld dat zij een passend beschermingsniveau waarborgen.

Artikel 38 bis

Verslag van de Commissie

Op gezette tijden dient de Commissie bij het Europees Parlement en de Raad een verslag in over de toepassing van de artikelen 33 tot en met 38. Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze richtlijn ingediend. Daartoe kan de Commissie bij de lidstaten en de toezichthoudende autoriteiten informatie opvragen die onverwijld wordt toegezonden. Het verslag wordt openbaar gemaakt. [Am. 103]

HOOFDSTUK VI

ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN

AFDELING 1

ONAFHANKELIJKHEID

Artikel 39

Toezichthoudende autoriteit

1.  Elke lidstaat bepaalt dat één of meer overheidsinstanties worden belast met het toezicht op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en een bijdrage leveren aan de uniforme toepassing ervan in de hele Unie, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. Daartoe werken de toezichthoudende autoriteiten samen met elkaar en met de Commissie.

2.  De lidstaten kunnen bepalen dat de toezichthoudende autoriteiten die in de lidstaten overeenkomstig Verordening (EU) …./2014 zijn opgericht, verantwoordelijk zijn voor de taken van de toezichthoudende autoriteit die overeenkomstig lid 1 van dit artikel moet worden aangewezen.

3.  Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan het Europees Comité voor gegevensbescherming.

Artikel 40