interactive GDPR 2016/0679 NL

„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

„verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

3)	„beperken van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

„profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

„pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

6)	„bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

„verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

8)	„verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

„ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;

10)

„derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

11)	„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

12)	„inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

13)

„genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

14)

„biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

15)	„gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;

16)

„hoofdvestiging”:

met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;

met betrekking tot een verwerker die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten;

17)

„vertegenwoordiger”: een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening;

18)	„onderneming”: een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen;

19)	„concern”: een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend;

20)

„bindende bedrijfsvoorschriften”: beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen;

21)	„toezichthoudende autoriteit”: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie;

22)

„betrokken toezichthoudende autoriteit”: een toezichthoudende autoriteit die betrokken is bij de verwerking van persoonsgegevens omdat:

a)	de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd;

b)	de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of

c)	bij die toezichthoudende autoriteit een klacht is ingediend;

23)

„grensoverschrijdende verwerking”:

a)	verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of

b)	verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden;

24)

„relevant en gemotiveerd bezwaar”: een bezwaar tegen een ontwerpbesluit over het bestaan van een inbreuk op deze verordening of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening, waarin duidelijk de omvang wordt aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie;

25)	„dienst van de informatiemaatschappij”: een dienst als gedefinieerd in artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (19);

26)	„internationale organisatie”: een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.

HOOFDSTUK II

Beginselen

Artikel 6

Rechtmatigheid van de verwerking

1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)	de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b)	de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c)	de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d)	de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e)	de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2. De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3. De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

a)	Unierecht; of

b)	lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

4. Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)	ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b)	het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c)	de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d)	de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e)	het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Artikel 10

Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.

Artikel 25

Gegevensbescherming door ontwerp en door standaardinstellingen

1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.

Artikel 46

Doorgiften op basis van passende waarborgen

1. Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

2. De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist:

a)	een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;

b)	bindende bedrijfsvoorschriften overeenkomstig artikel 47;

c)	standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld;

d)	standaardbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd;

e)	een overeenkomstig artikel 40 goedgekeurde gedragscode, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen; of

f)	een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen.

3. Onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name:

a)	contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie; of

b)	bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.

4. De toezichthoudende autoriteit past het in artikel 63 bedoelde coherentiemechanisme toe in de in lid 3 van dit artikel vermelde gevallen.

5. Toestemmingen die een lidstaat of een toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG heeft verleend, blijven geldig totdat zij door die toezichthoudende autoriteit, indien nodig, worden gewijzigd, vervangen of ingetrokken. De besluiten die de Commissie op grond van artikel 26, lid 4, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht totdat zij bij een overeenkomstig lid 2 van dit artikel vastgesteld besluit van de Commissie, indien nodig, worden gewijzigd, vervangen of ingetrokken.

Artikel 47

Bindende bedrijfsvoorschriften

1. De bevoegde toezichthoudende autoriteit keurt in overeenstemming met het in artikel 63 bedoelde coherentiemechanism bindende bedrijfsvoorschriften goed, op voorwaarde dat deze:

a)	juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van het concern, of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, met inbegrip van hun werknemers;

b)	betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens; en

c)	voldoen aan de in lid 2 vastgestelde vereisten.

2. In de in lid 1 bedoelde bindende bedrijfsvoorschriften worden minstens de volgende elementen vastgelegd:

a)	de structuur en de contactgegevens van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen en van elk van haar leden;

b)	de gegevensdoorgiften of reeks van doorgiften, met inbegrip van de categorieën van persoonsgegevens, het soort verwerking en de doeleinden daarvan, het soort betrokkenen in kwestie en de identificatie van het derde land of de derde landen in kwestie;

c)	het intern en extern juridisch bindende karakter;

de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbinding, minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën van persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen, en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden;

de rechten van betrokkenen in verband met verwerking en de middelen om die rechten uit te oefenen, waaronder het recht om niet te worden onderworpen aan louter op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering overeenkomstig artikel 22, het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, om een vordering in te stellen bij de bevoegde gerechten van de lidstaten overeenkomstig artikel 79, en om schadeloosstelling en, in voorkomend geval, een vergoeding te verkrijgen voor een inbreuk op de bindende bedrijfsvoorschriften;

de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd betrokken lid; de verwerkingsverantwoordelijke of de verwerker wordt alleen geheel of gedeeltelijk van deze aansprakelijkheid ontheven, indien hij bewijst dat dat lid niet verantwoordelijk is voor het schadebrengende feit;

g)	de wijze waarop, in aanvulling op de in de artikelen 13 en 14 bedoelde informatie, aan betrokkenen informatie wordt verschaft over de bindende bedrijfsvoorschriften, met name over de bepalingen in de punten d), e) en f);

de taken van elke overeenkomstig artikel 37 aangewezen functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op de naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, op opleiding en op de behandeling van klachten;

i)	de klachtenprocedures;

de binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd. Dergelijke procedures omvatten gegevensbeschermingsaudits en -methoden om te zorgen voor corrigerende maatregelen ter bescherming van de rechten van de betrokkene. De resultaten van dergelijke controles dienen te worden meegedeeld aan de in punt h) bedoelde persoon of entiteit en aan de raad van bestuur van de onderneming die zeggenschap uitoefent over een concern, of van de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, en dienen op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te worden gesteld;

k)	de procedures om die veranderingen in de regels te melden, te registreren en aan de toezichthoudende autoriteit te melden;

de procedure voor samenwerking met de toezichthoudende autoriteit om ervoor te zorgen dat alle leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen de bindende bedrijfsvoorschriften naleven, in het bijzonder door de resultaten van de in punt j) bedoelde controles ter beschikking van de toezichthoudende autoriteit te stellen;

de procedures om eventuele wettelijke voorschriften waaraan een lid van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen in een derde land is onderworpen en die waarschijnlijk een aanzienlijk negatief effect zullen hebben op de door de bindende bedrijfsvoorschriften geboden waarborgen, aan de bevoegde toezichthoudende autoriteit te melden; en

n)	de passende opleiding inzake gegevensbescherming voor personeel dat permanent of op regelmatige basis toegang tot persoonsgegevens heeft.

3. De Commissie kan het model en de procedures voor de uitwisseling van informatie over bindende bedrijfsvoorschriften in de zin van dit artikel tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten nader bepalen. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.

Artikel 48

Niet bij Unierecht toegestane doorgiften of verstrekkingen

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Artikel 49

Afwijkingen voor specifieke situaties

1. Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden mits aan één van de volgende voorwaarden is voldaan:

a)	de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;

b)	de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;

c)	de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst;

d)	de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;

e)	de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

f)	de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven;

de doorgifte is verricht vanuit een register dat volgens het Unierecht of lidstatelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in Unierecht of lidstatelijk recht vastgestelde voorwaarden voor raadpleging.

Wanneer een doorgifte niet op een bepaling van de artikelen 45 of 46, met inbegrip van de bepalingen inzake bindende bedrijfsvoorschriften, kon worden gegrond en geen van de afwijkingen voor een specifieke situatie als bedoeld in de eerste alinea van dit lid van toepassing zijn, is de doorgifte niet repetitief is, een beperkt aantal betrokkenen betreft, noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene, en de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden. De verwerkingsverantwoordelijke informeert de toezichthoudende autoriteit over de doorgifte. De verwerkingsverantwoordelijke informeert de betrokkene, behalve over de in de artikelen 13 en 14 bedoelde informatie, ook over de doorgifte en de door hem nagestreefde dwingende gerechtvaardigde belangen.

2. Een doorgifte overeenkomstig lid 1, eerste alinea, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer de gegevens voor hen zijn bestemd.

3. Lid 1, eerste alinea, onder a), b) en c) en tweede alinea, zijn niet van toepassing op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun openbare bevoegdheden.

4. Het in lid 1, eerste alinea, onder d), bedoelde openbaar belang moet zijn erkend bij een Unierechtelijke of nationaalrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is.

5. Bij ontstentenis van een adequaatheidsbesluit kunnen in Unierechtelijke of lidstaatrechtelijke bepalingen of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie. De lidstaten stellen de Commissie in kennis van dergelijke bepalingen.

6. De verwerkingsverantwoordelijke of de verwerker staaft de beoordeling en de in lid 1, tweede alinea, van dit artikel bedoelde passende waarborgen in het artikel 30 bedoelde register.

Artikel 56

Competentie van de leidende toezichthoudende autoriteit

1. Onverminderd artikel 55 is de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60.

2. In afwijking van lid 1 is elke toezichthoudende autoriteit competent een bij haar ingediende klacht of een eventuele inbreuk op deze verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft.

3. In de in lid 2 van dit artikel bedoelde gevallen stelt de toezichthoudende autoriteit de leidende toezichthoudende autoriteit onverwijld in kennis van de zaak. Binnen drie weken nadat zij in kennis is gesteld, besluit de leidende toezichthoudende autoriteit of zij de zaak al dan niet zal behandelen, overeenkomstig de in artikel 60 vastgelegde procedure; zij houdt daarbij rekening met het al dan niet bestaan van een vestiging van de verwerkingsverantwoordelijke of de verwerker in de lidstaat van de toezichthoudende autoriteit die haar in kennis heeft gesteld.

4. Wanneer de leidende toezichthoudende autoriteit besluit de zaak te behandelen, is de procedure van artikel 60 van toepassing. De toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld, kan bij deze laatste een ontwerpbesluit indienen. De leidende toezichthoudende autoriteit houdt zo veel mogelijk rekening met dat ontwerp wanneer zij het in artikel 60, lid 3, bedoelde ontwerpbesluit opstelt.

5. Indien de leidende toezichthoudende autoriteit besluit de zaak niet te behandelen, wordt deze overeenkomstig de artikelen 61 en 62 behandeld door de toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld.

6. De leidende toezichthoudende autoriteit is voor de verwerkingsverantwoordelijke of de verwerker de enige gesprekspartner bij grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker.

Artikel 61

Wederzijdse bijstand

1. De toezichthoudende autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen, en nemen maatregelen om doeltreffend met elkaar samen te werken. De wederzijdse bijstand bestrijkt met name informatieverzoeken en toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemming en raadplegingen, inspecties en onderzoeken.

2. Elke toezichthoudende autoriteit neemt alle passende maatregelen die nodig zijn om een verzoek van een andere toezichthoudende autoriteit onverwijld en uiterlijk binnen één maand na ontvangst daarvan te beantwoorden. Hierbij kan het in het bijzonder gaan om toezending van relevante informatie over de uitvoering van een onderzoek.

3. Verzoeken om bijstand bevatten alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor het doel waarvoor om die informatie is verzocht.

4. De toezichthoudende autoriteit waaraan een verzoek om bijstand is gericht, wijst dit verzoek slechts af indien:

a)	zij niet bevoegd is voor het onderwerp van het verzoek of voor de maatregelen die zij verzocht wordt uit te voeren; of

b)	het verzoek inbreuk maakt op deze verordening of met Unierecht of lidstatelijk recht dat van toepassing is op de toezichthoudende autoriteit die het verzoek ontvangt.

5. De toezichthoudende autoriteit tot wie het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de voortgang van de maatregelen die in antwoord op het verzoek zijn genomen. Indien de toezichthoudende autoriteit tot wie het verzoek is gericht het verzoek op grond van lid 4 afwijst, licht zij de redenen daarvoor toe.

6. Toezichthoudende autoriteiten tot wie het verzoek is gericht delen in de regel de door andere toezichthoudende autoriteiten gevraagde informatie langs elektronische weg mee door middel van een standaardformulier.

7. De maatregelen die toezichthoudende autoriteiten tot wie een verzoek is gericht nemen uit hoofde van een verzoek om wederzijdse bijstand, zijn kosteloos. De toezichthoudende autoriteiten kunnen regels overeenkomen om elkaar te vergoeden voor specifieke uitgaven die voortvloeien uit het verstrekken van wederzijdse bijstand in uitzonderlijke omstandigheden.

8. Wanneer een toezichthoudende autoriteit de in lid 5 van dit artikel bedoelde informatie niet binnen één maand na ontvangst van het verzoek van een andere toezichthoudende autoriteit verstrekt, kan de verzoekende toezichthoudende autoriteit overeenkomstig artikel 55, lid 1, op het grondgebied van haar lidstaat een voorlopige maatregel nemen. In dat geval wordt geacht dat er overeenkomstig artikel 66, lid 1, dringend moet worden opgetreden en dat dit een dringend bindend besluit van het Comité vereist overeenkomstig artikel 66, lid 2.

9. De Commissie kan door middel van uitvoeringshandelingen het model en de procedures voor de in dit artikel bedoelde wederzijdse bijstand vastleggen, alsmede de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Comité, waaronder het in lid 6 van dit artikel bedoelde standaardformulier. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.

Artikel 87

Verwerking van het nationaal identificatienummer

De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen. In dat geval wordt het nationale identificatienummer of enige andere identificator van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening.

Artikel 92

Uitoefening van de bevoegdheidsdelegatie

1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2. De in artikel 12, lid 8, en artikel 43, lid 8, bedoelde bevoegdheidsdelegatie wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van 24 mei 2016.

3. Het Europees Parlement of de Raad kan de in artikel 12, lid 8, en artikel 43, lid 8, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

5. Een overeenkomstig artikel 12, lid 8, en artikel 43, lid 8, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of van de Raad met drie maanden verlengd.

whereas

(33) Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven.
Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen.
Betrokkenen moeten de gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.

- = -

(36) De hoofdvestiging van een verwerkingsverantwoordelijke in de Unie dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt, tenzij de besluiten over de doeleinden van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke in de Unie, in welk geval deze andere vestiging als hoofdvestiging moet worden beschouwd.
Welke vestiging de hoofdvestiging van een verwerkingsverantwoordelijke in de Unie is, dient te worden bepaald op grond van objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten, met het oog op het nemen van de kernbesluiten over de doelstellingen van en de middelen voor de verwerking via bestendige verhoudingen.
Dit criterium mag niet afhangen van het feit of de verwerking van de persoonsgegevens op die locatie plaatsvindt.
De aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten zijn niet bepalend voor het belang van een vestiging en zijn dan ook geen doorslaggevende criteria om te bepalen of het om de hoofdvestiging gaat.
De hoofdvestiging van de verwerker dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt of, indien hij niet over een centrale administratie in de Unie beschikt, de plaats waar de voornaamste verwerkingsactiviteiten in de Unie plaatsvinden.
Bij betrokkenheid van zowel de verwerkingsverantwoordelijke als de verwerker, moet de toezichthoudende autoriteit van de lidstaat waar de verwerkingsverantwoordelijke zijn hoofdvestiging heeft, de bevoegde leidende toezichthoudende autoriteit blijven, maar de toezichthoudende autoriteit van de verwerker moet worden beschouwd als een betrokken toezichthoudende autoriteit en die toezichthoudende autoriteit moet deelnemen aan de in deze verordening vastgestelde samenwerkingsprocedure.
In elk geval mogen de toezichthoudende autoriteiten van de lidstaat of de lidstaten waar de verwerker een of meer vestigingen heeft niet worden aangemerkt als betrokken toezichthoudende autoriteiten wanneer het ontwerpbesluit alleen de verwerkingsverantwoordelijke betreft.
Indien de verwerking door een concern wordt uitgevoerd, dient de hoofdvestiging van de zeggenschap uitoefenende onderneming als de hoofdvestiging van het concern te worden beschouwd, behalve indien het doel van en de middelen voor de verwerking door een andere onderneming worden bepaald.

- = -

(39) Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden.
Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.
Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt.
Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt.
Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen.
Meer bepaald dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt, expliciet en gerechtvaardigd te zijn en te zijn vastgesteld wanneer de persoonsgegevens worden verzameld.
De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt.
Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt.
Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan.
Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist.
Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt.

- = -

(46) De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is.
Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd.
Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.

- = -

(51) Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden.
Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan.
De verwerking van foto's mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.
Dergelijke persoonsgegevens mogen niet worden verwerkt, tenzij de verwerking is toegestaan in in deze verordening vermelde specifieke gevallen, rekening houdend met het feit dat in de wetgeving van de lidstaten specifieke bepalingen inzake gegevensbescherming kunnen worden opgenomen teneinde de toepassing van de regels van deze verordening aan te passen met het oog op de vervulling van een wettelijke verplichting of met het oog op de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.
Naast de specifieke voorschriften voor die verwerking dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking.
Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.

- = -

(53) Bijzondere categorieën van persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten, met inbegrip van de verwerking door de beheersautoriteiten en de centrale nationale gezondheidsinstanties van die gegevens met het oog op kwaliteitscontrole, beheersinformatie en het algemeen nationaal en lokaal toezicht op het gezondheidszorgstelsel of het stelsel van sociale diensten, en bij het waarborgen van de continuïteit van de gezondheidszorg of de sociale diensten en grensoverschrijdende gezondheidszorg of voor doeleinden inzake gezondheidsbeveiliging, -bewaking en -waarschuwing of met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden op basis van Unierecht of lidstatelijk recht die aan een doelstelling van algemeen belang moet voldoen, alsook voor studies van algemeen belang op het gebied van de volksgezondheid.
Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn.
Het Unierecht of het lidstatelijke recht moet voorzien in specifieke en passende maatregelen voor de bescherming van de grondrechten en persoonsgegevens van natuurlijke personen.
De lidstaten moet worden toegestaan andere voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid te handhaven of in te voeren.
Wanneer deze voorwaarden van toepassing zijn op de grensoverschrijdende verwerking van deze persoonsgegevens, mag dit evenwel geen belemmering vormen voor het vrije verkeer van gegevens binnen de Unie.

- = -

(81) Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft.
Het feit dat de verwerker zich aansluit bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan.
De uitvoering van de verwerking door een verwerker dient uit hoofde van het Unierecht of het lidstatelijke recht te worden geregeld in een overeenkomst of een andere rechtshandeling waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is, en die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en dient rekening te houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van de betrokkene.
De verwerkingsverantwoordelijke en de verwerker kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door een toezichthoudende autoriteit in het kader van het coherentiemechanisme en vervolgens door de Commissie worden vastgesteld.
Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke, dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen, tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is de verplichting oplegt de persoonsgegevens op te slaan.

- = -

(101) Verkeer van persoonsgegevens van en naar landen buiten de Unie en internationale organisaties is noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de internationale samenwerking.
De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten met zich voor de bescherming van persoonsgegevens.
Wanneer persoonsgegevens echter van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, ook in gevallen van verdere doorgiften van persoonsgegevens van het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie.
Doorgifte aan derde landen en internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening.
Een doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens aan derde landen of internationale organisaties naleeft.

- = -

(113) Doorgiften die als niet repetitief kunnen worden omschreven en slechts een klein aantal betrokkenen betreffen, dienen ook mogelijk te zijn voor de behartiging van dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke, wanneer de belangen of de rechten en vrijheden van de betrokkene niet zwaarder wegen dan die belangen en wanneer de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld.
De verwerkingsverantwoordelijke besteedt bijzondere aandacht aan de aard van de persoonsgegevens, het doel en de duur van de voorgestelde verwerking of verwerkingen, alsmede aan de situatie in het land van herkomst, het derde land en het land van de uiteindelijke bestemming en moet voorzien in passende waarborgen ter bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens.
Zulke doorgiften mogen alleen mogelijk zijn in restgevallen waarbij de overige gronden voor doorgifte niet van toepassing zijn.
Met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden dient rekening te worden gehouden met de gerechtvaardigde verwachting van de maatschappij dat er sprake is van kennisvermeerdering.
De verwerkingsverantwoordelijke dient de toezichthoudende autoriteit en de betrokkene van de doorgifte op de hoogte te stellen.

- = -

(115) Sommige derde landen stellen wetten, bestuursrechtelijke bepalingen en andere rechtshandelingen vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van natuurlijke personen en rechtspersonen die onder de jurisdictie van de lidstaten vallen, rechtstreeks te regelen.
Hierbij kan het onder meer gaan om rechterlijke beslissingen of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op een geldende internationale overeenkomst, zoals een verdrag inzake wederzijds rechtshulp, tussen het verzoekende derde land en de Unie of de lidstaat in kwestie.
De extraterritoriale toepassing van deze wetten, bestuursrechtelijke bepalingen en andere rechtshandelingen kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie.
Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte aan derde landen.
Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht of het lidstatelijke recht waarvan de verwerkingsverantwoordelijke onderdaan is.

- = -

(127) Elke toezichthoudende autoriteit die niet optreedt als de leidende toezichthoudende autoriteit, dient bevoegd te zijn lokale gevallen te behandelen waarbij de verwerkingsverantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd, maar waarbij het onderwerp van de specifieke verwerking alleen een in een enkele lidstaat verrichte verwerking betreft en daarbij alleen personen uit die ene lidstaat zijn betrokken, bijvoorbeeld wanneer het de verwerking van persoonsgegevens van werknemers in de specifieke arbeidsmarktcontext van een lidstaat betreft.
In dergelijke gevallen dient de toezichthoudende autoriteit de leidende toezichthoudende autoriteit onverwijld van de zaak in kennis te stellen.
Nadat zij op de hoogte is gesteld, dient de leidende toezichthoudende autoriteit te besluiten of zij de zaak zal behandelen krachtens de bepaling inzake samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken toezichthoudende autoriteit („één-loketmechanisme”), dan wel of de toezichthoudende autoriteit die haar van de zaak in kennis heeft gesteld, deze op lokaal niveau dient te behandelen.
Wanneer de leidende toezichthoudende autoriteit besluit of zij de zaak al dan niet zal behandelen, dient zij rekening te houden met het al dan niet bestaan van een vestiging van de verwerkingsverantwoordelijke of de verwerker in de lidstaat van de toezichthoudende autoriteit die haar in kennis heeft gesteld, opdat kan worden gegarandeerd dat een beslissing daadwerkelijk ten uitvoer wordt gelegd ten aanzien van de verwerkingsverantwoordelijke of de verwerker.
Wanneer de leidende toezichthoudende autoriteit besluit de zaak te behandelen, dient de toezichthoudende autoriteit die haar in kennis heeft gesteld, de mogelijkheid te hebben een ontwerp van besluit in te dienen, en dient de leidende toezichthoudende autoriteit daarmee maximaal rekening te houden wanneer zij haar ontwerpbesluit in het kader van dat één-loketmechanisme opstelt.

- = -

(131) Indien een andere toezichthoudende autoriteit als leidende toezichthoudende autoriteit dient op te treden voor de verwerkingsactiviteiten van de verwerkingsverantwoordelijke of de verwerker, maar het voorwerp van een klacht of een mogelijke inbreuk alleen verwerkingsactiviteiten van de verwerkingsverantwoordelijke of de verwerker in de lidstaat waar de klacht is ingediend of waar de inbreuk is opgespoord betreft en het geval geen wezenlijke gevolgen heeft of dreigt te hebben voor betrokkenen in andere lidstaten, dient de toezichthoudende autoriteit waarbij een klacht wordt ingediend, of die situaties die mogelijke inbreuken op deze verordening inhouden, op het spoor is gekomen of er op een andere manier over wordt geïnformeerd, te trachten een minnelijke schikking met de verwerkingsverantwoordelijke te treffen en, indien dit niet mogelijk is, de volle reikwijdte van haar bevoegdheden uit te oefenen.
Daaronder dienen te vallen: specifieke verwerking op het grondgebied van de lidstaat van de toezichthoudende autoriteit of met betrekking tot betrokkenen op het grondgebied van die lidstaat; verwerking in het kader van een aanbod van goederen of diensten dat specifiek is gericht op betrokkenen op het grondgebied van de lidstaat van de toezichthoudende autoriteit; of verwerking die met inachtneming van de relevante lidstatelijke wettelijke verplichtingen moet worden beoordeeld.

- = -

(170) Daar de doelstelling van deze verordening, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen en van het vrije verkeer van persoonsgegevens in de hele Unie, niet voldoende door de lidstaten alleen kan worden verwezenlijkt en derhalve, gezien de omvang en de gevolgen van de maatregelen, beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel, maatregelen nemen.
Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken.

- = -

dal 2004 diritto e informatica