interactive GDPR 2016/0679 NL

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 NL jump to: cercato: 'moeten' . Output generated live by software developed by IusOnDemand srl

index moeten:

2 Artikel 5 Beginselen inzake verwerking van persoonsgegevens

1 Artikel 14 Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

1 Artikel 17 Recht op gegevenswissing („recht op vergetelheid”)

1 Artikel 30 Register van de verwerkingsactiviteiten

1 Artikel 37 Aanwijzing van de functionaris voor gegevensbescherming

1 Artikel 40 Gedragscodes

1 Artikel 46 Doorgiften op basis van passende waarborgen

1 Artikel 66 Spoedprocedure

1 Artikel 89 Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

whereas moeten:

definitions:

cloud tag:

and the number of total unique words without stopwords is: 662

Artikel 5

Beginselen inzake verwerking van persoonsgegevens

1. Persoonsgegevens moeten:

a)	worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);

c)	toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

d)	juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);

worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);

door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

Artikel 14

Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

1. Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:

a)	de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;

b)	in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;

c)	de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;

d)	de betrokken categorieën van persoonsgegevens;

e)	in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;

in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of aan een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van de in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.

2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:

a)	de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

b)	de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;

c)	dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking van bezwaar te maken en het recht op gegevensoverdraagbaarheid;

d)	wanneer verwerking op artikel 6, lid 1, punt a) of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;

e)	dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;

f)	de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;

g)	het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

3. De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:

a)	binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;

b)	indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of

c)	indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

4. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.

5. De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:

a)	de betrokkene reeds over de informatie beschikt;

het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;

c)	het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of

d)	de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijke recht, waaronder een statutaire geheimhoudingsplicht.

Artikel 17

Recht op gegevenswissing („recht op vergetelheid”)

1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

a)	de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

b)	de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

c)	de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;

d)	de persoonsgegevens zijn onrechtmatig verwerkt;

e)	de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

f)	de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

a)	voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;

voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

c)	om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;

met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;

e)	voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Artikel 30

Register van de verwerkingsactiviteiten

1. Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:

a)	de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;

b)	de verwerkingsdoeleinden;

c)	een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

d)	de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;

indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;

f)	indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

g)	indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

2. De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:

a)	de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;

b)	de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;

indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;

d)	indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

3. Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.

4. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.

5. De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft.

Artikel 37

Aanwijzing van de functionaris voor gegevensbescherming

1. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

a)	de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;

b)	een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of

c)	de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

2. Een concern kan één functionaris voor gegevensbescherming benoemen, mits de functionaris voor gegevensbescherming vanuit elke vestiging makkelijk te contacteren is.

3. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.

4. In andere dan de in lid 1 bedoelde gevallen kunnen of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moeten de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.

5. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.

6. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.

7. De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt die mee aan de toezichthoudende autoriteit.

Artikel 40

Gedragscodes

1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening.

2. Verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of die codes wijzigen of uitbreiden, teneinde de toepassing van deze verordening nader toe te lichten, zoals met betrekking tot:

a)	behoorlijke en transparante verwerking;

b)	de gerechtvaardigde belangen die door verwerkingsverantwoordelijken in een specifieke context worden behartigd;

c)	de verzameling van gegevens;

d)	de pseudonimisering van persoonsgegevens;

e)	de aan het publiek en betrokkenen verstrekte informatie;

f)	de uitoefening van de rechten van betrokkenen;

g)	de informatie verstrekt aan en de bescherming van kinderen en de wijze waarop de toestemming wordt verkregen van de personen die de ouderlijke verantwoordelijkheid voor kinderen dragen;

h)	de maatregelen en procedures als bedoeld in de artikelen 24 en 25 en de maatregelen ter beveiliging van de verwerking als bedoeld in artikel 32;

i)	de kennisgeving van inbreuken in verband met persoonsgegevens aan toezichthoudende autoriteiten en de mededeling van die inbreuken in verband met persoonsgegevens aan betrokkenen;

j)	de doorgifte van persoonsgegevens aan derde landen of internationale organisaties; of

k)	buitengerechtelijke procedures en andere procedures voor de beslechting van geschillen tussen verwerkingsverantwoordelijken en betrokkenen met betrekking tot verwerking, onverminderd de rechten van betrokkenen op grond van de artikelen 77 en 79.

3. Behalve door verwerkingsverantwoordelijken of verwerkers die onder deze verordening vallen, kan bij overeenkomstig lid 5 van dit artikel goedgekeurde gedragscodes die overeenkomstig lid 9 van dit artikel algemeen geldig zijn verklaard, eveneens worden aangesloten door verwerkingsverantwoordelijken of verwerkers die overeenkomstig artikel 3 niet onder deze verordening vallen, om te voorzien in passende waarborgen voor doorgifte van persoonsgegevens naar derde landen of internationale organisaties onder de voorwaarden als bedoeld in artikel 46, lid 2, punt e). Die verwerkingsverantwoordelijken of verwerkers doen, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen om die passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen.

4. Een in lid 2 van dit artikel bedoelde gedragscode bevat mechanismen die het in artikel 41, lid 1, bedoelde orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen van de code door de verwerkingsverantwoordelijken of verwerkers die zich tot toepassing ervan verbinden, onverminderd de taken en bevoegdheden van de overeenkomstig artikel 55 of 56 bevoegde toezichthoudende autoriteiten.

5. De in lid 2 van dit artikel bedoelde verenigingen en andere organen die voornemens zijn een gedragscode op te stellen of een bestaande gedragscode te wijzigen of uit te breiden, leggen de ontwerpgedragscode, de wijziging of uitbreiding voor aan de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit. De toezichthoudende autoriteit brengt advies uit over de vraag of de ontwerpgedragscode, de wijziging of uitbreiding strookt met deze verordening, en keurt deze ontwerpgedragscode, die wijziging of uitbreiding goed indien zij van oordeel is dat de code voldoende passende waarborgen biedt.

6. Wanneer de ontwerpgedragscode, de wijziging of uitbreiding wordt goedgekeurd overeenkomstig lid 5, en indien de gedragscode in kwestie geen betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, registreert de toezichthoudende autoriteit de gedragscode en maakt zij deze bekend.

7. Wanneer een ontwerpgedragscode betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, legt de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit deze, vóór goedkeuring van de gedragscode, de wijziging of uitbreiding, via de in artikel 63 bedoelde procedure voor aan het Comité, dat advies geeft over de vraag of de ontwerpgedragscode, de wijziging of uitbreiding strookt met deze verordening, of, in de in lid 3 van dit artikel bedoelde situatie, voorziet in passende waarborgen.

8. Wanneer in het in lid 7 bedoelde advies wordt bevestigd dat de gedragscode, de wijziging of uitbreiding strookt met deze verordening of, in de in lid 3 bedoelde situatie, passende waarborgen biedt, legt het Comité zijn advies voor aan de Commissie.

9. De Commissie kan bij uitvoeringshandelingen vaststellen dat de goedgekeurde gedragscode, wijziging of uitbreiding die haar op grond van lid 8 van dit artikel zijn voorgelegd, binnen de Unie algemeen geldig zijn. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.

10. De Commissie zorgt ervoor dat aan de goedgekeurde codes die zij overeenkomstig lid 9 algemeen geldig heeft verklaard, passende bekendheid wordt verleend.

11. Het Comité verzamelt alle goedgekeurde gedragscodes, wijzigingen en uitbreidingen in een register en maakt deze via geëigende kanalen openbaar.

Artikel 46

Doorgiften op basis van passende waarborgen

1. Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

2. De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist:

a)	een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;

b)	bindende bedrijfsvoorschriften overeenkomstig artikel 47;

c)	standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld;

d)	standaardbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd;

e)	een overeenkomstig artikel 40 goedgekeurde gedragscode, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen; of

f)	een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen.

3. Onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name:

a)	contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie; of

b)	bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.

4. De toezichthoudende autoriteit past het in artikel 63 bedoelde coherentiemechanisme toe in de in lid 3 van dit artikel vermelde gevallen.

5. Toestemmingen die een lidstaat of een toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG heeft verleend, blijven geldig totdat zij door die toezichthoudende autoriteit, indien nodig, worden gewijzigd, vervangen of ingetrokken. De besluiten die de Commissie op grond van artikel 26, lid 4, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht totdat zij bij een overeenkomstig lid 2 van dit artikel vastgesteld besluit van de Commissie, indien nodig, worden gewijzigd, vervangen of ingetrokken.

Artikel 66

Spoedprocedure

1. In buitengewone omstandigheden kan een betrokken toezichthoudende autoriteit, wanneer zij van mening is dat er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen te beschermen, in afwijking van het in de artikelen 63, 64 en 65 bedoelde coherentiemechanisme of van de in artikel 60 bedoelde procedure, onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur van ten hoogste drie maanden nemen die beogen rechtsgevolgen in het leven te roepen op het eigen grondgebied. De toezichthoudende autoriteit deelt die maatregelen met opgave van de redenen onverwijld mee aan de andere betrokken toezichthoudende autoriteiten, het Comité en de Commissie.

2. Wanneer een toezichthoudende autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het Comité met opgave van redenen om een dringend advies of een dringend bindend besluit verzoeken.

3. Een toezichthoudende autoriteit kan het Comité met opgave van redenen, waaronder de redenen waarom er dringend moet worden opgetreden, om een dringend advies of een dringend bindend besluit verzoeken wanneer de bevoegde toezichthoudende autoriteit geen passende maatregel heeft genomen in een situatie waarin er dringend moet worden opgetreden, teneinde de rechten en vrijheden van betrokkenen te beschermen.

4. In afwijking van artikel 64, lid 3, en van artikel 65, lid 2, wordt een als in de leden 2 en 3 bedoeld dringend advies of dringend bindend besluit binnen twee weken met gewone meerderheid van de leden van het Comité vastgesteld.

Artikel 89

Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

1. De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.

2. Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

3. Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18, 19, 20 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten het verwezenlijken van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

4. Wanneer verwerking als bedoeld in de leden 2 en 3 tegelijkertijd ook een ander doel dient, zijn de afwijkingen uitsluitend van toepassing op verwerking voor de in die leden bedoelde doeleinden.

whereas

(10) Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn.
Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.
Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast.
In samenhang met de algemene en horizontale wetgeving inzake gegevensbescherming ter uitvoering van Richtlijn 95/46/EG beschikken de lidstaten over verscheidene sectorgebonden wetten op gebieden waar behoefte is aan meer specifieke bepalingen.
Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van bijzondere persoonsgegevenscategorieën („gevoelige gegevens”) betreft.
In zoverre staat deze verordening niet in de weg aan lidstatelijk recht waarin specifieke situaties op het gebied van gegevensverwerking nader worden omschreven, meer bepaald door nauwkeuriger te bepalen in welke gevallen verwerking van persoonsgegevens rechtmatig geschiedt.

- = -

(17) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (6) is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie.
Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens, moeten aan de beginselen en regels van de onderhavige verordening worden aangepast en in het licht van de onderhavige verordening worden toegepast.
Om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen, moet Verordening (EG) nr. 45/2001 waar nodig worden aangepast zodra de onderhavige verordening is vastgesteld, opdat deze op hetzelfde tijdstip als de onderhavige verordening van toepassing kan worden.

- = -

(19) De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifiek rechtshandeling van de Unie.
Deze verordening mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten.
Overeenkomstig deze verordening door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (7).
De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van deze verordening valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt.

- = -

(20) Hoewel de onderhavige verordening onder meer van toepassing is op de activiteiten van gerechten en andere rechterlijke autoriteiten, zouden in het Unierecht of het lidstatelijke recht de verwerkingen en verwerkingsprocedures met betrekking tot het verwerken van persoonsgegevens door gerechten en andere rechterlijke autoriteiten nader kunnen worden gespecificeerd.
De competentie van de toezichthoudende autoriteiten mag zich niet uitstrekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun gerechtelijke taken, zulks teneinde de onafhankelijkheid van de rechterlijke macht bij de uitoefening van haar rechterlijke taken, waaronder besluitvorming, te waarborgen.
Het toezicht op die gegevensverwerkingen moet kunnen worden toevertrouwd aan specifieke instanties binnen de rechterlijke organisatie van de lidstaat, die met name de naleving van de regels van deze verordening moeten garanderen, leden van de rechterlijke macht van hun verplichtingen krachtens deze verordening sterker bewust moeten maken, en klachten met betrekking tot die gegevensverwerkingen moeten behandelen.

- = -

(26) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden.
Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd.
Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.
Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen.
De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.
Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

- = -

(29) Om stimuli te creëren voor pseudonimisering bij de verwerking van persoonsgegevens zouden, terwijl een algemene analyse mogelijk blijft, pseudonimiseringsmaatregelen moeten kunnen worden genomen door dezelfde verwerkingsverantwoordelijke wanneer deze de noodzakelijke technische en organisatorische maatregelen heeft getroffen om er bij de desbetreffende verwerking voor te zorgen dat deze verordening ten uitvoer wordt gelegd, en dat de aanvullende gegevens om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard.
De verwerkingsverantwoordelijke die de persoonsgegevens verwerkt, moet aangeven wie bij dezelfde verwerkingsverantwoordelijke gemachtigde personenzijn.

- = -

(31) Overheidsinstanties waaraan ingevolge een wettelijke verplichting persoonsgegevens worden meegedeeld voor het vervullen van hun overheidstaak, zoals belasting- of douaneautoriteiten, financiëleonderzoeksdiensten, onafhankelijke bestuurlijke autoriteiten of financiëlemarktautoriteiten die belast zijn met de regulering van en het toezicht op de effectenmarkten, mogen niet worden beschouwd als ontvangers indien zij persoonsgegevens ontvangen die noodzakelijk zijn voor de uitvoering van een bepaald onderzoek van algemeen belang, overeenkomstig het Unierecht of het lidstatelijke recht.
Door overheidsinstanties ingediende verzoeken om verstrekking moeten in ieder geval schriftelijk, gemotiveerd en incidenteel zijn, en mogen geen volledig bestand betreffen of resulteren in het onderling combineren van bestanden.
De verwerking van persoonsgegevens door bedoelde overheidsinstanties moet stroken met de voor de doeleinden van de verwerking toepasselijke gegevensbeschermingsregels.

- = -

(33) Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven.
Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen.
Betrokkenen moeten de gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.

- = -

(34) Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die blijken uit een analyse van een biologisch monster van de persoon in kwestie, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of uit een analyse van andere elementen waarmee soortgelijke informatie kan worden verkregen.

- = -

(39) Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden.
Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.
Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt.
Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt.
Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen.
Meer bepaald dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt, expliciet en gerechtvaardigd te zijn en te zijn vastgesteld wanneer de persoonsgegevens worden verzameld.
De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt.
Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt.
Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan.
Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist.
Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt.

- = -

(60) Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan.
De verwerkingsverantwoordelijke dient de betrokkene de nadere informatie te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt.
Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan.
Indien de persoonsgegevens van de betrokkene moeten worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens.
Die informatie kan met behulp van gestandaardiseerde icoontjes worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze de zin van de voorgenomen verwerking weer te geven.
Elektronisch weergegeven icoontjes moeten machineleesbaar zijn.

- = -

(62) Niettemin is het niet noodzakelijk de verplichting tot informatieverstrekking op te leggen wanneer de betrokkene al over de informatie beschikt, wanneer de registratie of mededeling van de persoonsgegevens uitdrukkelijk bij wet is voorgeschreven of wanneer de informatieverstrekking aan de betrokkene onmogelijk blijkt of onevenredig veel inspanningen zou kosten.
Dit laatste zou met name het geval kunnen zijn wanneer verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden geschiedt.
In dat verband mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke passende waarborgen moeten worden ingebouwd.

- = -

(65) Een betrokkene moet het recht hebben om hem betreffende persoonsgegevens te laten rectificeren en dient te beschikken over een „recht op vergetelheid” wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening die of op Unierecht of het lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.
Meer bepaald moeten betrokkenen het recht hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is.
Dat recht is met name relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de verwerkingsrisico's, en hij dergelijke persoonsgegevens later wil verwijderen, met name van het internet.
De betrokkene dient dat recht te kunnen uitoefenen niettegenstaande het feit dat hij geen kind meer is.
Het dient echter rechtmatig te zijn persoonsgegevens langer te bewaren wanneer dat noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

- = -

(71) De betrokkene dient het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit, dat een maatregel kan behelzen — over persoonlijke hem betreffende aspecten, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft, zoals de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst.
Een verwerking van die aard omvat „profilering”, wat bestaat in de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft.
Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is, onder meer ten behoeve van de controle en voorkoming van belastingfraude en -ontduiking overeenkomstig de regelgeving, normen en aanbevelingen van de instellingen van de Unie of de nationale voor oversight bevoegde instanties, en om te zorgen voor de veiligheid en betrouwbaarheid van een dienst die door de verwerkingsverantwoordelijke wordt verleend, of noodzakelijk voor de sluiting of uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of wanneer de betrokkene zijn uitdrukkelijke toestemming heeft gegeven.
In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten.
Een dergelijke maatregel mag geen betrekking hebben op een kind.

- = -

(73) In het Unierecht of het lidstatelijke recht kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van gegevens, het recht op gegevensoverdraagbaarheid, het recht om bezwaar te maken, alsook aan besluiten gebaseerd op profilering, aan de melding aan de betrokkene van een inbreuk op persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, waaronder de bescherming van het menselijk leven en met name bij natuurrampen of door de mens veroorzaakte rampen, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, of van schendingen van de beroepscodes voor gereglementeerde beroepen, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, voor de verdere verwerking van gearchiveerde persoonsgegevens teneinde specifieke informatie over het politieke gedrag onder voormalige totalitaire regimes te verkrijgen of voor de bescherming van de betrokkene of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden.
Deze beperkingen moeten in overeenstemming zijn met de vereisten van het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

- = -

(74) De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd.
Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen.
Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

- = -

(76) De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking.
Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico.

- = -

(78) Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan.
Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.
Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.
Bij de de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.
De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.

- = -

(84) Teneinde de naleving van deze verordening te verbeteren indien de verwerking waarschijnlijk gepaard gaat met hoge risico's in verband met de rechten en vrijheden van natuurlijke personen, dient de verwerkingsverantwoordelijke of de verwerker verantwoordelijk te zijn voor het verrichten van een gegevensbeschermingseffectbeoordeling om met name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren.
Met het resultaat van de beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen om aan te tonen dat deze verordening bij de verwerking van persoonsgegevens wordt nageleefd.
Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat verwerking gepaard gaat met een hoog risico dat de verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de toezichthoudende autoriteit plaats te vinden.

- = -

(86) De verwerkingsverantwoordelijke moet de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens grote risico's voor de rechten en vrijheden van de natuurlijke persoon met zich kan brengen, zodat hij de nodige voorzorgsmaatregelen kan treffen.
De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de natuurlijke persoon in kwestie mogelijke negatieve gevolgen kan beperken.
Dergelijke kennisgevingen aanetrokkenen dienen zo snel als redelijkerwijs mogelijk te worden gedaan, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door haarzelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte richtsnoeren.
Zo zouden betrokkenen bijvoorbeeld onverwijld in kennis moeten worden gesteld wanneer een onmiddellijk risico op schade moet worden beperkt, terwijl een langere kennisgevingstermijn gerechtvaardigd kan zijn wanneer er passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken in verband met persoonsgegevens.

- = -

(89) Richtlijn 95/46/EG voorzag in een algemene verplichting om de verwerking van persoonsgegevens aan de toezichthoudende autoriteiten te melden.
Die verplichting leidt tot administratieve en financiële lasten, maar heeft niet in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens.
Die ongedifferentieerde algemene kennisgevingsverplichtingen moeten derhalve worden afgeschaft en worden vervangen door doeltreffende procedures en mechanismen die gericht zijn op de soorten verwerkingen die naar hun aard, reikwijdte, context en doeleinden waarschijnlijk grote risico's voor de rechten en vrijheden van natuurlijke personen met zich brengen.
Dergelijke verwerkingen kunnen die zijn waarbij met name wordt gebruikgemaakt van nieuwe technologieën, of die welke van een nieuw type zijn en waarbij er vooraf geen gegevensbeschermingseffectbeoordeling is verricht door de verwerkingsverantwoordelijke, of wanneer zij noodzakelijk worden gelet op de tijd die sinds de aanvankelijke verwerking is verstreken.

- = -

(99) Bij de opstelling van een gedragscode, of bij wijziging of uitbreiding van een dergelijke code, moeten verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, overleg plegen met de belanghebbenden ter zake, waaronder waar mogelijk met betrokkenen, en rekening houden met bijdragen en standpunten naar aanleiding van dit overleg.

- = -

(104) Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land of van een grondgebied of een specifieke verwerkingssector binnen een derde land, in aanmerking te nemen in welke mate de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het derde land worden geëerbiedigd, en dient zij de algemene en sectorale wetgeving, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land in aanmerking te nemen.
Bij de vaststelling van een adequaatheidsbesluit (besluit waarbij het beschermingsniveau adequaat wordt verklaard) voor een grondgebied of een specifieke sector in een derde land, moeten er duidelijke en objectieve criteria worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de geldende wettelijke normen en wetgeving in het derde land.
Het derde land dient zich ertoe te verbinden een passend beschermingsniveau te waarborgen, in feite overeenkomend met het niveau dat in de Unie wordt verzekerd, vooral wanneer persoonsgegevens in één of meer specifieke sectoren worden verwerkt.
Het derde land dient met name te zorgen voor effectief en onafhankelijk toezicht op de gegevensbescherming en voor mechanismen van samenwerking met de autoriteiten op het gebied van gegevensbescherming van de lidstaten.
Voorts dienen de betrokkenen te beschikken over daadwerkelijke en afdwingbare rechten en daadwerkelijk administratief beroep en beroep in rechte te kunnen instellen.

- = -

(108) Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene.
Dergelijke passende waarborgen kunnen erin bestaan gebruik te maken van bindende bedrijfsvoorschriften, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door een toezichthoudende autoriteit of contractbepalingen die zijn toegestaan door een toezichthoudende autoriteit.
Die waarborgen moeten de naleving van gegevensbeschermingsvereisten en de geldende rechten van de betrokkenen voor verwerkingen binnen de Unie waarborgen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende beroepen, zoals het instellen van administratief beroep of beroep in rechte en het eisen van een vergoeding in de Unie of in een derde land.
Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.
Doorgiften kunnen ook worden verricht door overheidsinstanties of -organen met overheidsinstanties of -organen in derde landen of met internationale organisaties met overeenkomstige taken en functies, ook op basis van bepalingen die moeten worden opgenomen in administratieve regelingen, zoals een memorandum van overeenstemming met afdwingbare en bruikbare rechten voor betrokkenen.
De toestemming van de bevoegde toezichthoudende autoriteit zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen.

- = -

(109) Dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de standaardbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of geen andere bepalingen of extra waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen.
Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming.

- = -

(112) Die afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld in geval van opsporing van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport.
Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van een belang dat essentieel is voor de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven.
Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht of het lidstatelijke recht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën van gegevens naar een derde land of een internationale organisatie.
De lidstaten moeten dergelijke bepalingen aan de Commissie meedelen.
Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op de uitvoering van een opdracht die krachtens de Verdragen van Genève of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of omdat het van vitaal belang is voor de betrokkene.

- = -

(116) Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie.
Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland.
Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen.
Daarom dient nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.
Met het oog op de ontwikkeling van internationale samenwerkingsmechanismen om bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens internationale wederzijdse bijstand te faciliteren en te verlenen, moeten de Commissie en de toezichthoudende autoriteiten bij activiteiten op het gebied van de uitoefening van hun bevoegdheden informatie uitwisselen en samenwerken met bevoegde autoriteiten in derde landen, op basis van wederkerigheid en overeenkomstig deze verordening.

- = -

(117) Het is voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteit wordt ingesteld die bevoegd is haar taken en bevoegdheden volstrekt onafhankelijk uit te oefenen.
De lidstaten moeten de mogelijkheid hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen.

- = -

(129) Met het oog op een consequent toezicht en eenvormige handhaving van deze verordening in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, en om, onverminderd de bevoegdheden die aan de met vervolging belaste autoriteiten conform het lidstatelijke recht zijn toegekend, inbreuken op deze verordening ter kennis van de rechterlijke instanties te brengen en gerechtelijke procedures in te leiden.
Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking, waaronder een verwerkingsverbod, voor de verwerking op te leggen.
De lidstaten kunnen krachtens deze verordening andere aan de bescherming van persoonsgegevens verwante taken specificeren.
De bevoegdheden van de toezichthoudende autoriteiten moeten overeenkomstig passende in het Unierecht en het lidstatelijke recht bepaalde procedurele waarborgen, onpartijdig, behoorlijk en binnen een redelijke termijn worden uitgeoefend.
Elke maatregel dient met name passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de personen in kwestie te vermijden.
Onderzoeksbevoegdheden betreffende toegang tot terreinen moeten overeenkomstig de specifieke voorschriften van het lidstatelijke procesrecht, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, worden uitgeoefend.
Elke juridisch bindende maatregel van de toezichthoudende autoriteit dient schriftelijk, duidelijk en ondubbelzinnig te zijn, de toezichthoudende autoriteit die de maatregel heeft uitgevaardigd en de datum van uitvaardiging te vermelden, door het hoofd of een door het hoofd gemachtigd lid van de toezichthoudende autoriteit ondertekend te zijn, de redenen voor de maatregel te bevatten en naar het recht op een doeltreffende voorziening in rechte te verwijzen.
Dit dient bijkomende voorschriften overeenkomstig het lidstatelijke procesrecht niet uit te sluiten.
De vaststelling van juridisch bindende besluiten impliceert de mogelijkheid tot rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld.

- = -

(137) Er kan dringend moeten worden opgetreden om de rechten en vrijheden van de betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk zou kunnen worden belemmerd.
Daarom moet een toezichthoudende autoriteit op haar grondgebied naar behoren gemotiveerde voorlopige maatregelen kunnen treffen met een vastgestelde geldigheidsduur van maximaal drie maanden.

- = -

(146) De verwerkingsverantwoordelijke of de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening.
De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade.
Het begrip „schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening.
Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere regels in het Unierecht of het lidstatelijke recht onverlet.
Onder verwerking die inbreuk maakt op deze verordening, valt eveneens een verwerking die inbreuk maakt op gedelegeerde handelingen en uitvoeringshandelingen die werden vastgesteld overeenkomstig deze verordening, alsmede het lidstatelijke recht waarin in deze verordening vervatte regels worden gespecificeerd.
De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen.
Wanneer verwerkingsverantwoordelijken of verwerkers betrokken zijn bij dezelfde verwerking, dienen zij elk voor de volledige schade aansprakelijk te worden gehouden.
Wanneer zij evenwel overeenkomstig het lidstatelijke recht zijn gevoegd in dezelfde gerechtelijke procedure, kan elke verwerkingsverantwoordelijke of verwerker overeenkomstig zijn aandeel in de verantwoordelijkheid voor de schade die door de verwerking werd veroorzaakt, een deel van de vergoeding dragen, mits de betrokkene die schade heeft geleden volledig en daadwerkelijk wordt vergoed.
Iedere verwerkingsverantwoordelijke of verwerker die de volledige vergoeding heeft betaald kan vervolgens een regresvordering instellen tegen andere verwerkingsverantwoordelijken of verwerkers die bij dezelfde verwerking betrokken zijn.

- = -

(149) De lidstaten moeten de regels betreffende straffen voor inbreuken op deze verordening kunnen vaststellen, onder meer voor inbreuken op nationale regels ingevolge en binnen de grenzen van deze verordening.
Die straffen kunnen ook inhouden dat de via inbreuken op deze verordening verkregen winsten worden afgedragen.
Het opleggen van straffen voor inbreuken op dergelijke nationale regels en van administratieve sancties mag evenwel niet resulteren in de inbreuk op het ne-bis-in-idembeginsel, zoals uitgelegd door het Hof van Justitie.

- = -

(150) Teneinde de administratieve straffen tegen inbreuken op deze verordening te versterken en te harmoniseren dient iedere toezichthoudende autoriteit bevoegd te zijn om administratieve geldboeten op te leggen.
In deze verordening dienen inbreuken te worden benoemd, evenals maxima en criteria voor de vaststelling van de daaraan verbonden administratieve geldboeten, die per afzonderlijk geval dienen te worden bepaald door de bevoegde toezichthoudende autoriteit, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van met name de aard, de ernst en de duur van de inbreuk en van de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken.
Wanneer de administratieve geldboeten worden opgelegd aan een onderneming, moet een onderneming in die context worden gezien als een onderneming overeenkomstig de artikelen 101 en 102 van het VWEU.
Wanneer administratieve geldboeten worden opgelegd aan personen die geen onderneming zijn, moet de toezichthoudende autoriteit bij het bepalen van een passend bedrag voor de geldboete rekening houden met het algemene inkomensniveau in de lidstaat en de economische situatie van de persoon in kwestie.
Het coherentiemechanisme kan ook worden gebruikt ter bevordering van een consequente toepassing van administratieve geldboeten.
Het dient aan de lidstaten te zijn om te bepalen of en in hoeverre overheidsinstanties aan administratieve geldboeten moeten zijn onderworpen.
Het opleggen van een administratieve geldboete of het geven van een waarschuwing heeft geen gevolgen voor de uitoefening van andere bevoegdheden van de toezichthoudende autoriteiten of voor het toepassen van andere sancties uit hoofde van deze verordening.

- = -

(153) In de wetgeving van de lidstaten moeten de regels betreffende de vrijheid van meningsuiting en van informatie, met inbegrip van journalistieke, academische, artistieke en/of literaire uitdrukkingsvormen in overeenstemming worden gebracht met het recht op bescherming van persoonsgegevens uit hoofde van deze verordening.
Voor de verwerking van persoonsgegevens enkel voor journalistieke doeleinden of ten behoeve van academische, artistieke en literaire uitdrukkingsvormen moeten afwijkingen van of uitzonderingen op een aantal bepalingen van deze verordening worden ingesteld, teneinde indien nodig het recht op bescherming van persoonsgegevens te verzoenen met het recht op de vrijheid van meningsuiting en van informatie, zoals dat in artikel 11 van het Handvest is vastgelegd.
Dit dient met name te gelden voor de verwerking van persoonsgegevens voor audiovisuele doeleinden en in nieuws- en persarchieven.
De lidstaten moeten derhalve wettelijke maatregelen treffen om de uitzonderingen en afwijkingen vast te stellen die nodig zijn om een evenwicht tussen die grondrechten tot stand te brengen.
De lidstaten dienen dergelijke uitzonderingen en afwijkingen vast te stellen met betrekking tot de algemene beginselen, de rechten van betrokkenen, de verwerkingsverantwoordelijke en de verwerker, de doorgifte van persoonsgegevens naar derde landen of internationale organisaties, de onafhankelijke toezichthoudende autoriteiten, samenwerking en coherentie, en betreffende specifieke situaties op het gebied van gegevensverwerking.
Indien die uitzonderingen of afwijkingen per lidstaat verschillen, is het recht van de lidstaat waaraan de verwerkingsverantwoordelijke is onderworpen, van toepassing.
Gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, dienen begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim te worden uitgelegd.

- = -

(154) Deze verordening biedt de mogelijkheid om bij de toepassing daarvan rekening te houden met het beginsel recht van toegang van het publiek tot officiële documenten.
De toegang van het publiek tot officiële documenten kan als een algemeen belang worden beschouwd.
Persoonsgegevens in documenten die in het bezit zijn van een overheidsinstantie of overheidsorgaan, moeten door die instantie of dat orgaan kunnen worden vrijgegeven, indien in het Unierecht of het lidstatelijke recht dat op de overheidsinstantie of het overheidsorgaan van toepassing is, in de vrijgave van die gegevens wordt voorzien.
Die wetgeving moet de toegang van het publiek tot officiële documenten en het hergebruik van overheidsinformatie verzoenen met het recht op bescherming van persoonsgegevens, en mag derhalve voorzien in de noodzakelijke afstemming op het recht op de bescherming van persoonsgegevens krachtens deze verordening.
De verwijzing naar overheidsinstanties en -organen in die context moet alle autoriteiten en andere organen die onder het lidstatelijke recht inzake de toegang van het publiek tot documenten vallen, omvatten.
Richtlijn 2003/98/EG van het Europees Parlement en de Raad (14) doet geen afbreuk aan en heeft geen gevolgen voor het niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens uit hoofde van het Unierecht en het lidstatelijke recht, en houdt met name geen wijziging in van de in deze verordening vastgestelde verplichtingen en rechten.
Meer bepaald mag die richtlijn niet gelden voor documenten die krachtens de toegangsregelingen niet of in beperkte mate mogen worden ingezien omwille van de bescherming van persoonsgegevens, en voor delen van documenten die krachtens die regelingen mogen worden ingezien, maar die persoonsgegevens bevatten waarvan het hergebruik bij wet onverenigbaar is verklaard met het recht inzake bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

- = -

(158) Wanneer persoonsgegevens voor archiveringsdoeleinden worden verwerkt, dient deze verordening ook voor verwerking met dit doel te gelden, met dien verstande dat deze verordening niet van toepassing mag zijn op persoonsgegevens van overleden personen.
Overheidsinstanties of openbare of particuliere organen die in het bezit zijn van gegevens van algemeen belang moeten diensten zijn die, conform het Unierecht of het lidstatelijke recht, wettelijk verplicht zijn gegevens van blijvende waarde voor het algemeen belang te verwerven, te bewaren, te beoordelen, te ordenen, te beschrijven, mee te delen, onder de aandacht te brengen, te verspreiden en toegankelijk te maken.
De lidstaten moeten tevens worden gemachtigd om te bepalen dat persoonsgegevens voor archiveringsdoeleinden verder mogen worden verwerkt, bijvoorbeeld met het oog op het verstrekken van specifieke informatie over het politiek gedrag onder voormalige totalitaire regimes, over genocide, misdaden tegen de menselijkheid, met name de Holocaust, of over oorlogsmisdaden.

- = -

(163) De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd.
Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid overeenkomstig de statistische beginselen van artikel 338, lid 2, VWEU; nationale statistieken moeten ook aan het lidstatelijke recht voldoen.
Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (16), bevatten nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken.

- = -

(167) Om te zorgen voor uniforme voorwaarden voor de tenuitvoerlegging van deze verordening dienen aan de Commissie uitvoeringsbevoegdheden te worden verleend waar dit in deze verordening is voorzien.
Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011.
In die context dient de Commissie specifieke maatregelen voor kleine, middelgrote en micro-ondernemingen in overweging te nemen.

- = -

dal 2004 diritto e informatica