De recitals
Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER
We konden u de overwegingen niet laten missen, althans de belangrijkste die de basis vormden voor de AVG. Ze vormen de filosofie die in de definitieve verordening en de richtlijn is hersteld, ze ontcijferen en harmoniseren in één prisma alle overwegingen van elke wetgeving van de lidstaten op het gebied van gegevensbescherming. Ze belichamen de Europese diversiteit en vormen tegelijkertijd één geheel. Ze verhelderen ons begrip en geven betekenis, ze getuigen van het feit dat er iets diepgaands gebeurt, zeker en op het eerste gezicht, als reactie op GAFA's, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat en anderen, die ons gedrag, onze verlangens en onze wensen hebben geplunderd... Actoren wiens enige zorg voor ons die van onze portemonnee is!
Het leek mij essentieel om u de belangrijkste overwegingen en/of de belangrijkste passages te geven. Wilt u verder kijken? De website van de CNIL is wederom bijzonder uitgebreid en ik nodig u uit om die te bezoeken...
(Overweging 1) De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens is een fundamenteel recht. … bepalen dat eenieder recht heeft op bescherming van de hem betreffende persoonsgegevens.
(Overweging 2) De beginselen en regels betreffende de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens moeten, ongeacht hun nationaliteit of verblijfplaats, hun fundamentele rechten en vrijheden eerbiedigen, met name hun recht op bescherming van persoonsgegevens. … om bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en rechtvaardigheid en van een economische unie, aan de economische en sociale vooruitgang, aan de consolidatie en convergentie van de economieën binnen de interne markt, en aan het welzijn van natuurlijke personen.
(Overweging 3) … De Raad streeft ernaar de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen met betrekking tot verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens tussen de lidstaten te waarborgen.
(Overweging 4) De verwerking van persoonsgegevens moet ten dienste staan van de mensheid. Het recht op bescherming van persoonsgegevens is geen absoluut recht; het moet worden beschouwd in relatie tot de functie ervan in de samenleving en worden afgewogen tegen andere fundamentele rechten, in overeenstemming met het evenredigheidsbeginsel. … eerbiediging van het privéleven, het gezinsleven, de woning en de communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een eerlijk proces, en culturele, godsdienstige en taalkundige diversiteit.
(Overweging 6) Snelle technologische ontwikkelingen en globalisering hebben nieuwe uitdagingen gecreëerd voor de bescherming van persoonsgegevens. De omvang van het verzamelen en delen van persoonsgegevens is aanzienlijk toegenomen. Technologie stelt zowel particuliere bedrijven als overheden in staat om persoonsgegevens te gebruiken in hun zakelijke activiteiten zoals nooit tevoren. Individuen maken informatie over zichzelf steeds vaker openbaar en wereldwijd toegankelijk. Technologie heeft zowel de economische als de sociale verhoudingen veranderd en zou het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte ervan naar derde landen en internationale organisaties verder moeten vergemakkelijken, waarbij een hoog niveau van gegevensbescherming wordt gewaarborgd.
(Overweging 7) …het is belangrijk om vertrouwen op te bouwen dat de digitale economie in de gehele interne markt laat floreren. Individuen moeten zeggenschap hebben over hun persoonsgegevens. …
(Overweging 9) … fragmentatie van de tenuitvoerlegging van gegevensbescherming in de Unie, rechtsonzekerheid of een wijdverbreide publieke perceptie dat er aanzienlijke risico's voor de bescherming van personen blijven bestaan, met name met betrekking tot de onlineomgeving. Verschillen in het beschermingsniveau van de rechten en vrijheden van natuurlijke personen, met name het recht op bescherming van persoonsgegevens, met betrekking tot de verwerking van persoonsgegevens in de lidstaten kunnen het vrije verkeer van dergelijke gegevens in de Unie belemmeren. Dergelijke verschillen kunnen daarom een belemmering vormen voor de uitoefening van economische activiteiten op Unieniveau, de concurrentie verstoren en autoriteiten beletten hun verplichtingen uit hoofde van het Unierecht na te komen. …
(Overweging 10) Om een consistent en hoog beschermingsniveau voor natuurlijke personen te waarborgen en belemmeringen voor het verkeer van persoonsgegevens binnen de Unie weg te nemen, dient het beschermingsniveau van de rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van die gegevens in alle lidstaten gelijkwaardig te zijn. Het is daarom passend om te zorgen voor een consistente en uniforme toepassing van de regels inzake de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in de gehele Unie. …
(Overweging 11) Voor een doeltreffende bescherming van persoonsgegevens in de gehele Unie is het nodig dat de rechten van de betrokkenen en de plichten van degenen die de verwerking van persoonsgegevens uitvoeren en bepalen, worden versterkt en verduidelijkt. Daarnaast moeten in de lidstaten gelijkwaardige bevoegdheden voor toezicht en controle op de naleving van de regels inzake de bescherming van persoonsgegevens worden vastgesteld, alsmede gelijkwaardige sancties voor overtredingen.
(Overweging 13)
Om een consistent niveau van bescherming van natuurlijke personen in de hele Unie te waarborgen en verschillen te voorkomen die het vrije verkeer van persoonsgegevens binnen de interne markt belemmeren, is een verordening nodig om economische actoren, waaronder micro-, kleine en middelgrote ondernemingen, rechtszekerheid en transparantie te bieden, om natuurlijke personen in alle lidstaten hetzelfde niveau van afdwingbare rechten en verplichtingen en verantwoordelijkheden voor verwerkingsverantwoordelijken en verwerkers te bieden, en om consistent toezicht op de verwerking van persoonsgegevens en gelijkwaardige sancties in alle lidstaten, alsmede doeltreffende samenwerking tussen toezichthoudende autoriteiten van verschillende lidstaten te garanderen. Voor de goede werking van de interne markt is het noodzakelijk dat het vrije verkeer van persoonsgegevens binnen de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. …
(Overweging 14) De bescherming die deze verordening biedt, dient van toepassing te zijn op natuurlijke personen, ongeacht hun nationaliteit of woonplaats, met betrekking tot de verwerking van hun persoonsgegevens. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens van rechtspersonen, …
(Overweging 17) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen, bureaus en agentschappen van de Unie.
(Overweging 19) De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens, is het onderwerp van een specifieke rechtshandeling van de Unie. …
(Overweging 22) Elke verwerking van persoonsgegevens die plaatsvindt in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker op het grondgebied van de Unie, dient te worden uitgevoerd in overeenstemming met deze verordening, ongeacht of de verwerking zelf in de Unie plaatsvindt. Vestiging veronderstelt de effectieve en daadwerkelijke uitoefening van een activiteit door middel van een duurzame vestiging. …
(Overweging 23) Om te waarborgen dat een natuurlijke persoon niet wordt uitgesloten van de bescherming waarop hij krachtens deze verordening recht heeft, dient de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker onder deze verordening te vallen wanneer de verwerkingsactiviteiten verband houden met het aanbieden van goederen of diensten aan die betrokkenen, ongeacht of daarvoor betaling vereist is. Om te bepalen of een dergelijke verwerkingsverantwoordelijke of verwerker goederen of diensten aanbiedt aan betrokkenen die zich in de Unie bevinden, dient te worden vastgesteld of het duidelijk is dat de verwerkingsverantwoordelijke of verwerker voornemens is diensten aan te bieden aan betrokkenen in een of meer lidstaten van de Unie. …
(Overweging 24) De verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden door een verwerkingsverantwoordelijke of verwerker die niet in de Unie is gevestigd, dient eveneens onder deze verordening te vallen wanneer die verwerking verband houdt met het observeren van het gedrag van die betrokkenen voor zover het hun gedrag binnen de Unie betreft. Om te bepalen of een verwerkingsactiviteit kan worden beschouwd als het observeren van het gedrag van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, met inbegrip van het eventuele daaropvolgende gebruik van technieken voor de verwerking van persoonsgegevens die bestaan uit het profileren van een natuurlijke persoon, met name om beslissingen betreffende hem of haar te nemen of zijn of haar voorkeuren, gedrag en attitudes te analyseren of te voorspellen.
(Overweging 25) Wanneer krachtens het internationaal publiekrecht het recht van een lidstaat van toepassing is, dient deze verordening ook van toepassing te zijn op een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, …
(Overweging 26) De beginselen van gegevensbescherming moeten van toepassing zijn op alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Persoonsgegevens die gepseudonimiseerd zijn en die door middel van aanvullende informatie aan een natuurlijke persoon kunnen worden gekoppeld, dienen te worden beschouwd als informatie betreffende een identificeerbare natuurlijke persoon. Bij de vaststelling of een natuurlijke persoon identificeerbaar is, dient rekening te worden gehouden met alle middelen waarvan redelijkerwijs kan worden verwacht dat zij door de verwerkingsverantwoordelijke worden ingezet …
(Overweging 27) Deze verordening is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen met betrekking tot de verwerking van persoonsgegevens van overleden personen.
(Overweging 28) Pseudonimisering van persoonsgegevens kan de risico's voor betrokkenen verminderen en verwerkingsverantwoordelijken en verwerkers helpen hun verplichtingen inzake gegevensbescherming na te komen. De expliciete invoering van pseudonimisering in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.
(Overweging 29) Om pseudonimisering bij de verwerking van persoonsgegevens te bevorderen, dienen pseudonimiseringsmaatregelen binnen dezelfde verwerkingsverantwoordelijke mogelijk te zijn, terwijl een algemene analyse mogelijk is, mits de verwerkingsverantwoordelijke de nodige technische en organisatorische maatregelen heeft genomen om ervoor te zorgen dat deze verordening voor de betreffende verwerking wordt uitgevoerd en dat aanvullende informatie die het mogelijk maakt de persoonsgegevens aan een specifieke betrokkene te koppelen, afzonderlijk wordt bewaard. De verwerkingsverantwoordelijke die de persoonsgegevens verwerkt, dient aan te geven welke personen hiervoor binnen dezelfde verwerkingsverantwoordelijke bevoegd zijn.
(Overweging 30) Personen kunnen via de apparaten, applicaties, tools en protocollen die ze gebruiken, worden gekoppeld aan online-identificatiegegevens zoals IP-adressen en cookies of andere identificatiegegevens, zoals radiofrequentie-identificatietags. Deze identificatiegegevens kunnen sporen achterlaten die, met name in combinatie met unieke identificatiegegevens en andere door servers ontvangen informatie, kunnen worden gebruikt om profielen van personen te maken en deze personen te identificeren.
(Overweging 31) Overheidsinstanties waaraan persoonsgegevens worden verstrekt op grond van een wettelijke verplichting voor de uitoefening van hun officiële taken, zoals belasting- en douaneautoriteiten, financiële onderzoeksdiensten, onafhankelijke bestuursautoriteiten of financiëlemarktautoriteiten die verantwoordelijk zijn voor de regulering van en het toezicht op de effectenmarkten, mogen niet als ontvangers worden beschouwd indien zij persoonsgegevens ontvangen die noodzakelijk zijn om een specifiek onderzoek in het algemeen belang uit te voeren, …
(Overweging 32) Toestemming dient te worden gegeven door middel van een ondubbelzinnige actieve handeling waarmee de betrokkene op specifieke, geïnformeerde en ondubbelzinnige wijze vrijwillig en op specifieke wijze instemt met de verwerking van zijn of haar persoonsgegevens, bijvoorbeeld door middel van een schriftelijke verklaring, ook langs elektronische weg, of een mondelinge verklaring. Dit kan bijvoorbeeld door bij een bezoek aan een website een vakje aan te vinken, door bepaalde technische instellingen voor diensten van de informatiemaatschappij te kiezen, of door middel van een verdere verklaring of handeling waaruit in deze context duidelijk blijkt dat de betrokkene instemt met de voorgenomen verwerking van zijn of haar persoonsgegevens. Toestemming kan daarom niet worden verondersteld te zijn gebaseerd op stilzwijgen, standaardvinkjes of inactiviteit. …
(Overweging 36) De hoofdvestiging van een verwerkingsverantwoordelijke in de Unie dient de plaats te zijn waar zijn centrale administratie in de Unie is gevestigd, tenzij de beslissingen over de doeleinden en middelen van de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke in de Unie. In dat geval dient die andere vestiging als de hoofdvestiging te worden beschouwd. De hoofdvestiging van een verwerkingsverantwoordelijke in de Unie dient te worden bepaald op basis van objectieve criteria en dient de effectieve en daadwerkelijke uitoefening van beheersactiviteiten te omvatten die de belangrijkste beslissingen over de doeleinden en middelen van de verwerking binnen een stabiele regeling bepalen. …
(Overweging 37) Een groep ondernemingen moet een controlerende onderneming en de ondernemingen die onder haar controle staan, omvatten. De eerstgenoemde is degene die overheersende invloed kan uitoefenen op de andere ondernemingen, bijvoorbeeld op grond van haar kapitaalbezit, financiële participatie of de regels die op haar van toepassing zijn, of op grond van de bevoegdheid om regels inzake de bescherming van persoonsgegevens te handhaven. Een onderneming die de verwerking van persoonsgegevens in met haar verbonden ondernemingen controleert, moet worden beschouwd als een groep ondernemingen die met die ondernemingen een groep vormt.
(Overweging 38) Kinderen verdienen specifieke bescherming met betrekking tot hun persoonsgegevens, omdat zij zich mogelijk minder bewust zijn van de risico's, gevolgen en waarborgen die hiermee gepaard gaan, en van hun rechten met betrekking tot de verwerking van persoonsgegevens. Deze specifieke bescherming dient met name te gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het aanmaken van persoonlijkheids- of gebruikersprofielen, en voor het verzamelen van persoonsgegevens van kinderen bij het gebruik van diensten die rechtstreeks aan een kind worden aangeboden. De toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, mag niet vereist zijn in het kader van preventie- of voorlichtingsdiensten die rechtstreeks aan een kind worden aangeboden.
(Overweging 39) Alle verwerkingen van persoonsgegevens dienen rechtmatig en behoorlijk te zijn. Het feit dat persoonsgegevens van natuurlijke personen worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en de mate waarin dergelijke gegevens worden of zullen worden verwerkt, dienen transparant te zijn voor de betrokken natuurlijke personen. Het transparantiebeginsel vereist dat alle informatie en communicatie met betrekking tot de verwerking van dergelijke persoonsgegevens gemakkelijk toegankelijk, gemakkelijk te begrijpen en in duidelijke en eenvoudige taal geformuleerd zijn. Dit beginsel is met name van toepassing op informatie die aan betrokkenen wordt verstrekt over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsmede op andere informatie die gericht is op het waarborgen van een behoorlijke en transparante verwerking met betrekking tot de betrokken natuurlijke personen en hun recht om bevestiging en communicatie te verkrijgen over de vraag of hun persoonsgegevens worden verwerkt. Natuurlijke personen dienen te worden geïnformeerd over de risico's, regels, waarborgen en rechten met betrekking tot de verwerking van persoonsgegevens en over de modaliteiten voor het uitoefenen van hun rechten met betrekking tot een dergelijke verwerking. …
(Overweging 40) Om rechtmatig te zijn, moet de verwerking van persoonsgegevens gebaseerd zijn op de toestemming van de betrokkene of op een andere gerechtvaardigde grondslag waarin de wet voorziet, …
(Overweging 42) Wanneer de verwerking gebaseerd is op toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. …
(Overweging 43) Om te garanderen dat toestemming vrijelijk wordt gegeven, mag dit geen geldige rechtsgrondslag zijn voor de verwerking van persoonsgegevens in een specifiek geval waarin er een kennelijke onevenwichtigheid bestaat tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is en het onwaarschijnlijk is dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is gegeven. Toestemming wordt geacht niet vrijelijk te zijn gegeven indien geen afzonderlijke toestemming kan worden gegeven voor verschillende verwerkingen van persoonsgegevens, ook al zou dit in het individuele geval passend zijn, of indien de uitvoering van een overeenkomst, met inbegrip van de levering van een dienst, afhankelijk is van toestemming, ook al is toestemming voor die uitvoering niet noodzakelijk.
(Overweging 44) Verwerking moet als rechtmatig worden beschouwd als dit noodzakelijk is voor de uitvoering van een contract of voor het voornemen om een contract aan te gaan.
(Overweging 45) Wanneer de verwerking wordt uitgevoerd om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke onderworpen is of wanneer deze noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een grondslag te hebben in het recht van de Unie of het recht van de lidstaten. …
(Overweging 46) De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze noodzakelijk is voor de bescherming van een belang dat essentieel is voor het leven van de betrokkene of dat van een andere natuurlijke persoon. Verwerking van persoonsgegevens op basis van het vitale belang van een andere natuurlijke persoon mag in beginsel alleen plaatsvinden wanneer de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. …
(Overweging 47) De gerechtvaardigde belangen van een verwerkingsverantwoordelijke, met inbegrip van die van een verwerkingsverantwoordelijke aan wie de persoonsgegevens kunnen worden verstrekt, of van een derde, kunnen een rechtsgrondslag voor de verwerking vormen, tenzij de belangen of de fundamentele rechten en vrijheden van de betrokkene prevaleren, rekening houdend met de redelijke verwachtingen van betrokkenen op basis van hun relatie met de verwerkingsverantwoordelijke. …
(Overweging 48) Verwerkingsverantwoordelijken die deel uitmaken van een groep ondernemingen of vestigingen die verbonden zijn aan een centraal orgaan, kunnen een gerechtvaardigd belang hebben bij de doorgifte van persoonsgegevens binnen de groep ondernemingen voor interne administratieve doeleinden, waaronder de verwerking van persoonsgegevens met betrekking tot klanten of werknemers. …
(Overweging 49) De verwerking van persoonsgegevens voor zover strikt noodzakelijk en proportioneel voor het doel van het waarborgen van netwerk- en informatiebeveiliging, d.w.z. het vermogen van een netwerk of informatiesysteem om, op een gegeven niveau van vertrouwen, bestand te zijn tegen toevallige gebeurtenissen of onrechtmatige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden persoonsgegevens in gevaar brengen, evenals de beveiliging van gerelateerde diensten die via dergelijke netwerken en systemen worden aangeboden of toegankelijk worden gemaakt door overheidsinstanties, Computer Emergency Response Teams (CERT's), Computer Security Incident Response Teams (CSIRT's), aanbieders van elektronische communicatienetwerken en -diensten en aanbieders van beveiligingstechnologieën en -diensten, vormt een legitiem belang van de betrokken verwerkingsverantwoordelijke. Dit kan bijvoorbeeld het voorkomen van ongeautoriseerde toegang tot elektronische communicatienetwerken en de verspreiding van schadelijke code omvatten, en het stoppen van "denial of service"-aanvallen en schade aan computers en elektronische communicatiesystemen.
(Overweging 50) Verwerking van persoonsgegevens voor andere doeleinden dan waarvoor de persoonsgegevens oorspronkelijk zijn verzameld, mag alleen worden toegestaan als dit verenigbaar is met de doeleinden waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. …
Indien de betrokkene toestemming heeft gegeven of de verwerking is gebaseerd op een Unierechtelijke of lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van met name belangrijke doelstellingen van algemeen belang, dient de verwerkingsverantwoordelijke de persoonsgegevens verder te mogen verwerken, ongeacht de verenigbaarheid van de doeleinden. …
(Overweging 51) Persoonsgegevens die vanwege hun aard bijzonder gevoelig zijn uit het oogpunt van fundamentele rechten en vrijheden, verdienen specifieke bescherming, aangezien de context waarin ze worden verwerkt aanzienlijke risico's voor die rechten en vrijheden met zich mee kan brengen. Dergelijke persoonsgegevens dienen persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, met dien verstande dat het gebruik van de term 'ras' in deze verordening niet impliceert dat de Unie theorieën over het bestaan van afzonderlijke menselijke rassen onderschrijft. …
(Overweging 52) Afwijkingen van het verbod op de verwerking van bijzondere categorieën persoonsgegevens dienen ook te worden toegestaan indien het recht van de Unie of van de lidstaten daarin voorziet en mits er passende waarborgen worden geboden ter bescherming van persoonsgegevens en andere fundamentele rechten, indien het algemeen belang dit vereist, met inbegrip van de verwerking van persoonsgegevens op het gebied van het arbeidsrecht en het socialebeschermingsrecht, met inbegrip van pensioenen, en voor doeleinden van veiligheid, gezondheidstoezicht en waarschuwing, preventie of beheersing van besmettelijke ziekten en andere ernstige bedreigingen voor de gezondheid.
(Overweging 53) Bijzondere categorieën persoonsgegevens die een hogere mate van bescherming verdienen, mogen alleen worden verwerkt voor gezondheidsgerelateerde doeleinden, indien dat noodzakelijk is om die doeleinden te verwezenlijken in het belang van het individu en de samenleving als geheel, met name in het kader van het beheer van gezondheids- of sociale zorgdiensten en -systemen, met inbegrip van de verwerking van die gegevens door nationale beheersautoriteiten en centrale gezondheidsautoriteiten, met het oog op kwaliteitscontrole, het informeren van managers en het algemeen toezicht, op nationaal en lokaal niveau, op het gezondheids- of sociale zorgstelsel en met het oog op het waarborgen van de continuïteit van de gezondheids- of sociale zorg en de grensoverschrijdende gezondheidszorg of ten behoeve van de beveiliging, het toezicht en de waarschuwing van de gezondheid, of voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden, op basis van het recht van de Unie of van de lidstaten die aan een doelstelling van algemeen belang moeten voldoen, alsmede voor studies die in het algemeen belang op het gebied van de volksgezondheid worden uitgevoerd. …
(Overweging 54) De verwerking van bijzondere categorieën persoonsgegevens kan noodzakelijk zijn om redenen van algemeen belang op het gebied van de volksgezondheid, zonder toestemming van de betrokkene. … Een dergelijke verwerking van gegevens betreffende de gezondheid om redenen van algemeen belang mag er niet toe leiden dat persoonsgegevens door derden, zoals werkgevers of verzekeringsmaatschappijen en banken, voor andere doeleinden worden verwerkt.
(Overweging 56) Wanneer het voor de werking van het democratisch bestel in een lidstaat noodzakelijk is dat politieke partijen in het kader van verkiezingsactiviteiten persoonsgegevens verzamelen die betrekking hebben op de politieke opvattingen van personen, kan de verwerking van die gegevens op grond van het algemeen belang worden toegestaan, mits er passende waarborgen worden geboden.
(Overweging 57) Indien de persoonsgegevens die de verwerkingsverantwoordelijke verwerkt, niet toelaten een natuurlijke persoon te identificeren, mag de verwerkingsverantwoordelijke niet worden verplicht aanvullende informatie te verkrijgen ter identificatie van de betrokkene, uitsluitend om te voldoen aan een bepaling van deze verordening. De verwerkingsverantwoordelijke mag echter niet weigeren aanvullende informatie te verstrekken die door de betrokkene wordt verstrekt om de uitoefening van zijn of haar rechten te vergemakkelijken. Identificatie dient de digitale identificatie van een betrokkene te omvatten, bijvoorbeeld door middel van een authenticatiemechanisme zoals dezelfde inloggegevens die de betrokkene gebruikt om in te loggen op de onlinedienst die de verwerkingsverantwoordelijke aanbiedt.
(Overweging 58) Het transparantiebeginsel vereist dat alle informatie die aan het publiek of aan de betrokkene is gericht, beknopt, gemakkelijk toegankelijk en gemakkelijk te begrijpen is, en in duidelijke en eenvoudige bewoordingen is geformuleerd en bovendien, waar passend, met visuele elementen is geïllustreerd. Dergelijke informatie kan in elektronische vorm worden verstrekt, bijvoorbeeld via een website, wanneer deze aan het publiek is gericht. … Aangezien kinderen specifieke bescherming verdienen, dient alle informatie en communicatie, wanneer de verwerking hen betreft, in duidelijke en eenvoudige bewoordingen te worden opgesteld die het kind gemakkelijk kan begrijpen.
(Overweging 59) Er dienen regelingen te worden getroffen om de uitoefening door de betrokkene van zijn of haar rechten uit hoofde van deze verordening te vergemakkelijken, waaronder middelen om kosteloos toegang tot, en rectificatie of wissing van, persoonsgegevens te verzoeken en, indien van toepassing, te verkrijgen, alsmede het recht om bezwaar te maken. De verwerkingsverantwoordelijke dient tevens middelen te bieden om verzoeken langs elektronische weg in te dienen, met name wanneer persoonsgegevens elektronisch worden verwerkt. De verwerkingsverantwoordelijke dient verplicht te zijn om onverwijld en uiterlijk binnen één maand op verzoeken van de betrokkene te reageren en de redenen voor zijn reactie op te geven indien hij voornemens is om geen gevolg te geven aan dergelijke verzoeken.
(Overweging 60) Het beginsel van behoorlijke en transparante verwerking vereist dat de betrokkene wordt geïnformeerd over het bestaan van de verwerking en de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene alle overige informatie te verstrekken die nodig is om een behoorlijke en transparante verwerking te waarborgen, rekening houdend met de specifieke omstandigheden en context waarin de persoonsgegevens worden verwerkt. Daarnaast dient de betrokkene te worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Wanneer persoonsgegevens van de betrokkene worden verzameld, is het belangrijk dat de betrokkene ook weet of hij of zij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als hij of zij deze niet verstrekt. …
(Overweging 61) Informatie over de verwerking van persoonsgegevens met betrekking tot de betrokkene dient aan hem of haar te worden verstrekt op het moment dat de persoonsgegevens bij hem of haar worden verzameld of, indien de persoonsgegevens uit een andere bron worden verkregen, binnen een redelijke termijn, afhankelijk van de omstandigheden van het geval. Wanneer persoonsgegevens rechtmatig aan een andere ontvanger mogen worden verstrekt, dient de betrokkene te worden geïnformeerd over het tijdstip waarop de persoonsgegevens voor het eerst aan die ontvanger worden verstrekt. …
(Overweging 62) Het is echter niet nodig een verplichting tot het verstrekken van informatie op te leggen wanneer de betrokkene reeds over deze informatie beschikt, wanneer de vastlegging of verstrekking van persoonsgegevens uitdrukkelijk bij wet is voorzien of wanneer het verstrekken van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel inspanning zou kosten. …
(Overweging 63) Een betrokkene moet het recht hebben om toegang te krijgen tot de over hem verzamelde persoonsgegevens en dit recht eenvoudig en met redelijke tussenpozen uit te oefenen, om op de hoogte te zijn van de verwerking en de rechtmatigheid ervan te controleren. Dit omvat het recht van betrokkenen op toegang tot gegevens betreffende hun gezondheid, bijvoorbeeld gegevens uit hun medisch dossier met informatie zoals diagnoses, onderzoeksresultaten, adviezen van behandelende artsen en eventuele uitgevoerde behandelingen of interventies. Dienovereenkomstig moet elke betrokkene het recht hebben om met name de doeleinden van de verwerking van persoonsgegevens te kennen en te worden geïnformeerd, indien mogelijk de duur van de verwerking van die persoonsgegevens, de identiteit van de ontvangers van die persoonsgegevens, de logica achter elke geautomatiseerde verwerking en de mogelijke gevolgen van die verwerking, ten minste in het geval van profilering. …
(Overweging 64) De verwerkingsverantwoordelijke dient alle redelijke maatregelen te nemen om de identiteit te verifiëren van een betrokkene die toegang tot gegevens verzoekt, met name in het kader van onlinediensten en identificatiegegevens. Een verwerkingsverantwoordelijke mag persoonsgegevens niet uitsluitend bewaren om te kunnen reageren op mogelijke verzoeken.
(Overweging 65) Betrokkenen dienen het recht te hebben om persoonsgegevens die op hen betrekking hebben, te laten corrigeren en dienen een 'recht om te worden vergeten' te hebben wanneer de bewaring van die gegevens in strijd is met deze verordening of met het Unierecht of het lidstatelijke recht dat op de verwerkingsverantwoordelijke van toepassing is. Betrokkenen dienen met name het recht te hebben om hun persoonsgegevens te laten wissen en niet langer te laten verwerken, wanneer deze persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming voor de verwerking hebben ingetrokken of bezwaar hebben gemaakt tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens anderszins onverenigbaar is met deze verordening. Dit recht is met name relevant wanneer de betrokkene toestemming heeft gegeven toen hij/zij nog een kind was en zich niet volledig bewust was van de risico's die aan de verwerking verbonden waren, en vervolgens wenst dat die persoonsgegevens worden verwijderd, met name op internet. …
(Overweging 66) Om het digitale ‘recht om vergeten te worden’ te versterken, moet ook het recht op wissen worden uitgebreid, zodat de verwerkingsverantwoordelijke die de persoonsgegevens openbaar heeft gemaakt, verplicht is om verwerkingsverantwoordelijken die die persoonsgegevens verwerken, te informeren dat alle links naar, of kopieën of reproducties van, die gegevens moeten worden gewist. …
(Overweging 67) Methoden voor het beperken van de verwerking van persoonsgegevens kunnen onder meer bestaan uit het tijdelijk verplaatsen van geselecteerde gegevens naar een ander verwerkingssysteem, het ontoegankelijk maken van geselecteerde persoonsgegevens voor gebruikers of het tijdelijk verwijderen van gepubliceerde gegevens van een website. In geautomatiseerde bestandssystemen dient de beperking van de verwerking in principe met technische middelen te worden gewaarborgd, op een zodanige wijze dat de persoonsgegevens niet aan verdere verwerking worden onderworpen en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, dient duidelijk in het bestandssysteem te worden aangegeven.
(Overweging 68) Om hun controle over hun eigen gegevens verder te versterken, moeten betrokkenen, wanneer persoonsgegevens geautomatiseerd worden verwerkt, ook het recht hebben om de hen betreffende persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerde, gangbare, machineleesbare en interoperabele vorm te ontvangen en deze gegevens door te sturen naar een andere verwerkingsverantwoordelijke. Verwerkingsverantwoordelijken moeten worden aangemoedigd om interoperabele formaten te ontwikkelen die gegevensportabiliteit mogelijk maken. …
(Overweging 69) Wanneer persoonsgegevens rechtmatig kunnen worden verwerkt omdat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, of vanwege de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, dienen betrokkenen niettemin het recht te hebben bezwaar te maken tegen de verwerking van persoonsgegevens die verband houden met hun specifieke situatie. De bewijslast dat hun dwingende gerechtvaardigde belangen zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene, dient bij de verwerkingsverantwoordelijke te liggen.
(Overweging 70) Wanneer persoonsgegevens worden verwerkt voor direct marketingdoeleinden, moet de betrokkene het recht hebben om te allen tijde en kosteloos bezwaar te maken tegen deze verwerking, met inbegrip van profilering voor zover deze verband houdt met direct marketing, ongeacht of deze betrekking heeft op de eerste verwerking of op verdere verwerking. …
(Overweging 71) De betrokkene moet het recht hebben om niet te worden onderworpen aan een besluit, waaronder mogelijk een maatregel, dat betrekking heeft op de beoordeling van bepaalde persoonlijke aspecten die op hem of haar betrekking hebben, dat uitsluitend gebaseerd is op geautomatiseerde verwerking en waaraan voor hem of haar rechtsgevolgen zijn verbonden of dat hem of haar op vergelijkbare wijze aanzienlijk treft, zoals de automatische afwijzing van een online kredietaanvraag of online wervingspraktijken zonder menselijke tussenkomst. Dit type verwerking omvat "profilering", wat bestaat uit elke vorm van geautomatiseerde verwerking van persoonsgegevens om persoonlijke aspecten van een natuurlijke persoon te beoordelen, met name om aspecten met betrekking tot de arbeidsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, of locatie en verplaatsingen van de betrokkene te analyseren of te voorspellen, zolang hieraan voor de betrokkene rechtsgevolgen zijn verbonden of die hem of haar op vergelijkbare wijze aanzienlijk treffen. …
(Overweging 73) Het Unierecht of het lidstatelijke recht kan beperkingen opleggen aan bepaalde specifieke beginselen, aan het recht op informatie, het recht op toegang tot persoonsgegevens, het recht op rectificatie of verwijdering van die gegevens, het recht op gegevensoverdraagbaarheid, het recht van bezwaar, aan beslissingen op basis van profilering, aan de mededeling van een inbreuk op de bescherming van persoonsgegevens aan een betrokkene en aan bepaalde daarmee verband houdende verplichtingen van verwerkingsverantwoordelijken.
(Overweging 74) Het is passend om de verantwoordelijkheid van de verwerkingsverantwoordelijke vast te leggen voor elke verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd. In het bijzonder is het van belang dat de verwerkingsverantwoordelijke verplicht is passende en doeltreffende maatregelen te nemen en kan aantonen dat de verwerkingsactiviteiten voldoen aan deze verordening, met inbegrip van de doeltreffendheid van de maatregelen.
(Overweging 75) Risico's voor de rechten en vrijheden van natuurlijke personen, waarvan de waarschijnlijkheid en ernst variëren, kunnen voortvloeien uit de verwerking van persoonsgegevens die waarschijnlijk leidt tot lichamelijke, materiële of immateriële schade, met name: wanneer de verwerking aanleiding kan geven tot discriminatie, identiteitsdiefstal of fraude, financieel verlies, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, ongeoorloofde ongedaanmaking van het pseudonimiseringsproces of enige andere aanzienlijke economische of maatschappelijke schade; wanneer betrokkenen hun rechten en vrijheden kunnen worden ontnomen of verhinderd kunnen worden controle uit te oefenen over hun persoonsgegevens; wanneer de verwerking betrekking heeft op persoonsgegevens waaruit het ras of de etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijken, alsmede genetische gegevens, gegevens over de gezondheid of gegevens over het seksleven of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, met name in de context van het analyseren of voorspellen van elementen betreffende werkprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen, met het oog op het opstellen of gebruiken van individuele profielen; wanneer de verwerking betrekking heeft op persoonsgegevens die betrekking hebben op kwetsbare natuurlijke personen, met name kinderen; of wanneer de verwerking betrekking heeft op een grote hoeveelheid persoonsgegevens en een groot aantal betrokkenen betreft.
(Overweging 76) De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald in het licht van de aard, de omvang, de context en de doeleinden van de verwerking. …
(Overweging 78) De bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens vereist het nemen van passende technische en organisatorische maatregelen om te waarborgen dat aan de vereisten van deze verordening wordt voldaan. Om naleving van deze verordening te kunnen aantonen, dient de verwerkingsverantwoordelijke interne regels vast te stellen en maatregelen te implementeren die met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen respecteren. Dergelijke maatregelen kunnen onder meer het minimaliseren van de verwerking van persoonsgegevens omvatten, het waar mogelijk pseudonimiseren van persoonsgegevens, het waarborgen van transparantie met betrekking tot de functies en verwerking van persoonsgegevens, het toestaan dat de betrokkene controle heeft over de gegevensverwerking, en het toestaan dat de verwerkingsverantwoordelijke beveiligingsfuncties implementeert of verbetert. Bij het ontwikkelen, ontwerpen, selecteren en gebruiken van applicaties, diensten en producten die afhankelijk zijn van de verwerking van persoonsgegevens of die persoonsgegevens verwerken om hun functies uit te voeren, dienen productfabrikanten, dienstverleners en applicatieproducenten te worden aangemoedigd om rekening te houden met het recht op gegevensbescherming bij het ontwikkelen en ontwerpen van dergelijke producten, diensten en applicaties en, met inachtneming van de stand van de techniek, ervoor te zorgen dat verwerkingsverantwoordelijken en verwerkers in staat zijn om aan hun verplichtingen inzake gegevensbescherming te voldoen. Ook bij overheidsaanbestedingen moeten de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen in acht worden genomen.
(Overweging 79) De bescherming van de rechten en vrijheden van betrokkenen, alsmede de aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers, ook in het kader van het toezicht door toezichthoudende autoriteiten en de door hen genomen maatregelen, vereist een duidelijke toewijzing van verantwoordelijkheden krachtens deze verordening, …
(Overweging 80) Wanneer een verwerkingsverantwoordelijke of verwerker die niet in de Unie is gevestigd, persoonsgegevens verwerkt van betrokkenen die zich in de Unie bevinden en zijn verwerkingsactiviteiten verband houden met het aanbieden van goederen of diensten aan die betrokkenen in de Unie, ongeacht of daarvoor betaling vereist is, of met het observeren van hun gedrag, voor zover dit binnen de Unie plaatsvindt, dient de verwerkingsverantwoordelijke of verwerker een vertegenwoordiger aan te wijzen, tenzij de verwerking incidenteel is, geen grootschalige verwerking van bijzondere categorieën van persoonsgegevens of de verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten inhoudt, en het onwaarschijnlijk is dat deze een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, rekening houdend met de aard, context, omvang en doeleinden van de verwerking, of de verwerkingsverantwoordelijke een overheidsinstantie of -orgaan is. De vertegenwoordiger dient namens de verwerkingsverantwoordelijke of verwerker te handelen en kan door iedere toezichthoudende autoriteit worden gecontacteerd. De vertegenwoordiger dient uitdrukkelijk te worden aangewezen bij schriftelijk mandaat van de verwerkingsverantwoordelijke of verwerker om namens hem of haar op te treden met betrekking tot diens verplichtingen uit hoofde van deze verordening. De aanwijzing van die vertegenwoordiger laat de verantwoordelijkheden van de verwerkingsverantwoordelijke of verwerker uit hoofde van deze verordening onverlet. …
(Overweging 81) Om te waarborgen dat aan de vereisten van deze verordening wordt voldaan in het kader van verwerkingen die door een verwerker ten behoeve van de verwerkingsverantwoordelijke worden verricht, mag de verwerkingsverantwoordelijke, wanneer laatstgenoemde verwerkingsactiviteiten aan een verwerker toevertrouwt, uitsluitend een beroep doen op verwerkers die voldoende garanties bieden, met name wat betreft deskundigheid, betrouwbaarheid en middelen, voor de uitvoering van technische en organisatorische maatregelen die voldoen aan de vereisten van deze verordening, met inbegrip van de beveiliging van de verwerking. …
(Overweging 82) Om aan te tonen dat aan deze verordening is voldaan, moet de verwerkingsverantwoordelijke of de verwerker een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen. …
(Overweging 83) Om de veiligheid te waarborgen en verwerking in strijd met deze verordening te voorkomen, is het van belang dat de verwerkingsverantwoordelijke of verwerker de risico's die inherent zijn aan de verwerking beoordeelt en maatregelen treft om deze te beperken, zoals versleuteling. Deze maatregelen dienen een passend beveiligingsniveau te garanderen, inclusief vertrouwelijkheid, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging in verhouding tot de risico's en de aard van de te beschermen persoonsgegevens. …
(Overweging 84) Om de naleving van deze verordening beter te waarborgen, dient de verwerkingsverantwoordelijke, wanneer verwerkingen waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengen, verantwoordelijk te zijn voor het uitvoeren van een gegevensbeschermingseffectbeoordeling om met name de oorsprong, aard, specificiteit en ernst van dat risico te beoordelen. De uitkomst van die beoordeling dient in aanmerking te worden genomen bij het bepalen van de passende maatregelen om aan te tonen dat de verwerking van persoonsgegevens aan deze verordening voldoet. Wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat de gegevensverwerkingen een hoog risico met zich meebrengen dat de verwerkingsverantwoordelijke niet kan beperken door passende maatregelen te nemen, rekening houdend met de beschikbare technieken en de kosten van de tenuitvoerlegging daarvan, dient de toezichthoudende autoriteit te worden geraadpleegd voordat de verwerking plaatsvindt.
(Overweging 85) Een inbreuk op persoonsgegevens kan, indien geen tijdige en passende maatregelen worden genomen, fysieke, materiële of morele schade veroorzaken aan de betrokken natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financieel verlies, ongeoorloofde omkering van de pseudonimiseringsprocedure, reputatieschade, verlies van vertrouwelijkheid van persoonsgegevens die beschermd zijn door het beroepsgeheim of andere aanzienlijke economische of maatschappelijke schade. Dienovereenkomstig moet de verwerkingsverantwoordelijke, zodra hij kennis krijgt van een inbreuk op persoonsgegevens, de toezichthoudende autoriteit zonder onnodige vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft gekregen, op de hoogte stellen, tenzij hij overeenkomstig het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat de inbreuk in kwestie een risico oplevert voor de rechten en vrijheden van natuurlijke personen. Indien een dergelijke kennisgeving niet binnen de periode van 72 uur kan worden gedaan, moet de kennisgeving vergezeld gaan van de redenen voor de vertraging en kan de informatie in fasen worden verstrekt zonder verdere onnodige vertraging.
(Overweging 86) De verwerkingsverantwoordelijke moet de betrokkene zonder onnodige vertraging op de hoogte stellen van een inbreuk in verband met persoonsgegevens wanneer de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van de natuurlijke persoon met zich meebrengt, zodat de betrokkene passende voorzorgsmaatregelen kan nemen. …
(Overweging 87) Er moet worden nagegaan of alle passende technische en organisatorische waarborgen zijn geïmplementeerd om onmiddellijk vast te stellen of er sprake is van een inbreuk op de gegevensbescherming en om de toezichthoudende autoriteit en de betrokkene onmiddellijk te informeren. …
(Overweging 91) Dit dient met name te gelden voor grootschalige verwerkingen die gericht zijn op de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, die gevolgen kunnen hebben voor een aanzienlijk aantal betrokkenen en die waarschijnlijk een hoog risico met zich meebrengen, bijvoorbeeld vanwege hun gevoeligheid, wanneer overeenkomstig de stand van de techniek op grote schaal een nieuwe techniek wordt toegepast, alsmede voor andere verwerkingen die een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengen, met name wanneer het voor betrokkenen als gevolg van dergelijke verwerkingen moeilijker is hun rechten uit te oefenen. Een gegevensbeschermingseffectbeoordeling dient ook te worden uitgevoerd wanneer persoonsgegevens worden verwerkt om beslissingen te nemen met betrekking tot specifieke natuurlijke personen na een systematische en diepgaande beoordeling van persoonlijke aspecten die specifiek zijn voor natuurlijke personen op basis van profilering van die gegevens of na de verwerking van bijzondere categorieën persoonsgegevens, biometrische gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, of daarmee verband houdende veiligheidsmaatregelen. …
(Overweging 92) Er zijn gevallen waarin het redelijk en kosteneffectief kan zijn om de reikwijdte van de gegevensbeschermingseffectbeoordeling uit te breiden tot meer dan één enkel project. Dit kan bijvoorbeeld het geval zijn wanneer overheidsinstanties of overheidsorganen van plan zijn een gemeenschappelijk toepassings- of verwerkingsplatform te implementeren, of wanneer meerdere verwerkingsverantwoordelijken van plan zijn een gemeenschappelijke toepassings- of verwerkingsomgeving te creëren voor een gehele sector of beroepssegment, of voor een veelgebruikte, cross-functionele activiteit.
(Overweging 94) Indien uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking, bij ontstentenis van waarborgen, veiligheidsmaatregelen en mechanismen voor risicobeperking, een hoog risico voor de rechten en vrijheden van natuurlijke personen zou opleveren en de verwerkingsverantwoordelijke van mening is dat het risico niet met redelijke middelen, rekening houdend met de beschikbare technologie en de kosten van tenuitvoerlegging, kan worden beperkt, dient de toezichthoudende autoriteit te worden geraadpleegd voordat de verwerkingsactiviteiten beginnen. …
(Overweging 97) Wanneer de verwerking wordt uitgevoerd door een overheidsinstantie, met uitzondering van gerechten of onafhankelijke gerechtelijke autoriteiten die optreden in hun hoedanigheid van gerechtelijke instantie, wanneer de verwerking in de particuliere sector wordt uitgevoerd door een verwerkingsverantwoordelijke wiens kerntaak bestaat uit verwerkingen die regelmatige en stelselmatige monitoring van betrokkenen op grote schaal vereisen, of wanneer de kerntaak van de verwerkingsverantwoordelijke of de verwerker bestaat uit grootschalige verwerking van bijzondere categorieën persoonsgegevens en gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, dient een persoon met deskundige kennis van de wetgeving en praktijk inzake gegevensbescherming de verwerkingsverantwoordelijke of de verwerker bij te staan bij het controleren van de interne naleving van deze verordening. …
(Overweging 98) Verenigingen of andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, moeten worden aangemoedigd om binnen de grenzen van deze verordening gedragscodes op te stellen om de juiste toepassing ervan te vergemakkelijken, rekening houdend met de specifieke kenmerken van de verwerkingen die in bepaalde sectoren worden uitgevoerd en met de specifieke behoeften van micro-, kleine en middelgrote ondernemingen. …
(Overweging 101) Stromen van persoonsgegevens van en naar landen buiten de Unie en internationale organisaties zijn noodzakelijk voor de ontwikkeling van internationale handel en internationale samenwerking. De toename van dergelijke stromen heeft nieuwe uitdagingen en zorgen met betrekking tot de bescherming van persoonsgegevens gecreëerd. Het is echter van belang dat, wanneer persoonsgegevens vanuit de Unie worden doorgegeven aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of aan internationale organisaties, het beschermingsniveau van natuurlijke personen dat in de Unie door deze verordening wordt gewaarborgd, niet wordt ondermijnd, ook niet in geval van verdere doorgiften van persoonsgegevens vanuit het derde land of de internationale organisatie aan verwerkingsverantwoordelijken of verwerkers in hetzelfde of een ander derde land, of aan een andere internationale organisatie. In ieder geval mogen doorgiften naar derde landen en aan internationale organisaties alleen plaatsvinden met volledige inachtneming van deze verordening. …
(Overweging 103) De Commissie kan, met werking in de gehele Unie, besluiten dat een derde land, een gebied of een specifieke sector binnen een derde land, of een internationale organisatie een passend niveau van gegevensbescherming biedt, en aldus rechtszekerheid en uniformiteit in de gehele Unie waarborgen ten aanzien van het derde land of de internationale organisatie die geacht wordt een dergelijk beschermingsniveau te bieden. In dat geval kunnen persoonsgegevens aan dat derde land of die internationale organisatie worden doorgegeven zonder dat daarvoor verdere toestemming nodig is.
(Overweging 104) Gelet op de fundamentele waarden waarop de Unie is gegrondvest, met name de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van een derde land, een gebied of een specifieke sector binnen een derde land rekening te houden met de wijze waarop een specifiek derde land de rechtsstaat eerbiedigt, de toegang tot de rechter waarborgt en de internationale regels en normen op het gebied van de mensenrechten naleeft, alsmede met zijn algemene en sectorale wetgeving, met inbegrip van wetgeving inzake openbare veiligheid, defensie en nationale veiligheid, alsmede openbare orde en strafrecht.
(Overweging 105) Naast de internationale verbintenissen die het derde land of de internationale organisatie is aangegaan, dient de Commissie rekening te houden met de verplichtingen die voortvloeien uit de deelname van het derde land of de internationale organisatie aan multilaterale of regionale systemen, met name wat betreft de bescherming van persoonsgegevens, en de nakoming van die verplichtingen. In het bijzonder dient rekening te worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het bijbehorende Aanvullend Protocol. …
(Overweging 108) Bij ontstentenis van een adequaatheidsbesluit moet de verwerkingsverantwoordelijke of de verwerker maatregelen nemen om de ontoereikendheid van de gegevensbescherming in het derde land te compenseren door middel van passende waarborgen voor de betrokkene. …
(Overweging 109) De mogelijkheid voor verwerkingsverantwoordelijken en verwerkers om gebruik te maken van standaardbepalingen inzake gegevensbescherming die door de Commissie of een toezichthoudende autoriteit zijn vastgesteld, mag hen er niet van weerhouden die bepalingen op te nemen in een bredere overeenkomst, zoals een overeenkomst tussen de verwerker en een andere verwerker, of andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de fundamentele rechten en vrijheden van de betrokkenen.
(Overweging 110) Een groep ondernemingen of een groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, moet goedgekeurde bindende bedrijfsvoorschriften kunnen gebruiken voor internationale doorgiften vanuit de Unie naar entiteiten in dezelfde groep ondernemingen, of in dezelfde groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, op voorwaarde dat die bedrijfsvoorschriften alle essentiële beginselen en afdwingbare rechten omvatten om passende waarborgen te garanderen voor de doorgifte of categorieën van doorgiften van persoonsgegevens.
(Overweging 114) In ieder geval moet de verwerkingsverantwoordelijke of de verwerker, wanneer de Commissie geen standpunt heeft ingenomen over de toereikendheid van het niveau van gegevensbescherming in een derde land, oplossingen kiezen die de betrokkenen afdwingbare en doeltreffende rechten garanderen met betrekking tot de verwerking van hun gegevens in de Unie nadat die gegevens zijn doorgegeven, zodat die betrokkenen blijven profiteren van fundamentele rechten en waarborgen.
(Overweging 116) Wanneer persoonsgegevens de buitengrenzen van de Unie overschrijden, kan dit het risico vergroten dat personen hun gegevensbeschermingsrechten niet kunnen uitoefenen, met name niet om zichzelf te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. … Daarom is het noodzakelijk om nauwere samenwerking tussen toezichthoudende autoriteiten voor gegevensbescherming te bevorderen, om hen te helpen informatie uit te wisselen en onderzoeken uit te voeren met hun internationale tegenhangers. …
(Overweging 121) De algemene voorwaarden die van toepassing zijn op het lid of de leden van de toezichthoudende autoriteit, dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat die leden volgens een transparante procedure worden benoemd door het parlement, de regering of het staatshoofd van die lidstaat, op voordracht van de regering of een lid van de regering, dan wel van het parlement of een kamer van volksvertegenwoordigers, dan wel door een onafhankelijk orgaan dat krachtens de wetgeving van een lidstaat met deze taak is belast. …
(Overweging 122) Elke toezichthoudende autoriteit moet bevoegd zijn om op het grondgebied van haar lidstaat de taken en bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend.
(Overweging 124) Indien de verwerking van persoonsgegevens plaatsvindt in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie en die verwerkingsverantwoordelijke of verwerker in meer dan één lidstaat is gevestigd, of indien de verwerking die plaatsvindt in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, wezenlijke gevolgen heeft of waarschijnlijk wezenlijke gevolgen zal hebben voor betrokkenen in meer dan één lidstaat, dient de toezichthoudende autoriteit die rechtsmacht heeft over de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of de verwerker, op te treden als leidende autoriteit. …
(Overweging 125) De leidende autoriteit dient bevoegd te zijn om bindende besluiten te nemen over maatregelen ter uitvoering van de bevoegdheden die haar overeenkomstig deze verordening zijn toegekend. In haar hoedanigheid van leidende autoriteit dient de toezichthoudende autoriteit de relevante toezichthoudende autoriteiten nauw te betrekken bij het besluitvormingsproces en in dat verband te zorgen voor nauwe coördinatie. …
(Overweging 129) Om een consistente handhaving en monitoring van deze verordening in de gehele Unie te waarborgen, dienen de toezichthoudende autoriteiten in elke lidstaat dezelfde taken en effectieve bevoegdheden te hebben, waaronder onderzoeksbevoegdheden, de bevoegdheid om corrigerende maatregelen vast te stellen en sancties op te leggen, alsook de bevoegdheid om autorisatie te verlenen en adviezen uit te brengen, met name in het geval van klachten ingediend door natuurlijke personen, en, onverminderd de bevoegdheden van de vervolgende autoriteiten krachtens het lidstatelijke recht, de bevoegdheid om inbreuken op deze verordening ter kennis van de gerechtelijke autoriteiten te brengen en gerechtelijke stappen te ondernemen. Tot die bevoegdheden dient tevens de bevoegdheid te behoren om een tijdelijke of permanente beperking van de verwerking op te leggen, met inbegrip van een verbod. …
(Overweging 130) Indien de toezichthoudende autoriteit waarbij de klacht is ingediend niet de leidende toezichthoudende autoriteit is, dient de leidende toezichthoudende autoriteit nauw samen te werken met de toezichthoudende autoriteit waarbij de klacht is ingediend, overeenkomstig de bepalingen inzake samenwerking en consistentie die in deze verordening zijn neergelegd. …
(Overweging 137) Dringende maatregelen kunnen noodzakelijk zijn om de rechten en vrijheden van betrokkenen te beschermen, met name wanneer er een gevaar bestaat dat de uitoefening van een recht van een betrokkene aanzienlijk wordt belemmerd. Daarom moet een toezichthoudende autoriteit binnen haar grondgebied voorlopige maatregelen kunnen nemen die naar behoren gerechtvaardigd zijn en een bepaalde geldigheidsduur hebben van maximaal drie maanden.
(Overweging 138) De toepassing van een dergelijk mechanisme moet de rechtmatigheid van een maatregel die bedoeld is om rechtsgevolgen teweeg te brengen en die door een toezichthoudende autoriteit wordt genomen, bepalen in gevallen waarin een dergelijke toepassing verplicht is. …
(Overweging 141) Iedere betrokkene dient het recht te hebben een klacht in te dienen bij één toezichthoudende autoriteit, met name in de lidstaat waar hij of zij zijn of haar gewone verblijfplaats heeft, en het recht op een doeltreffende voorziening in rechte overeenkomstig artikel 47 van het Handvest indien hij of zij van mening is dat zijn of haar rechten uit hoofde van deze verordening zijn geschonden of indien de toezichthoudende autoriteit geen gevolg geeft aan zijn of haar klacht, deze geheel of gedeeltelijk afwijst of verwerpt, of nalaat op te treden wanneer optreden noodzakelijk is om de rechten van de betrokkene te beschermen. Het onderzoek naar aanleiding van een klacht dient onder rechterlijk toezicht te worden uitgevoerd in de mate die het individuele geval vereist.
(Overweging 142) Wanneer een betrokkene van mening is dat zijn of haar rechten uit hoofde van deze verordening worden geschonden, dient hij of zij het recht te hebben om een orgaan, organisatie of vereniging zonder winstoogmerk, opgericht overeenkomstig het recht van een lidstaat, waarvan de statutaire doelstellingen van openbaar belang zijn en die actief is op het gebied van de bescherming van persoonsgegevens, te machtigen namens hem of haar een klacht in te dienen bij een toezichthoudende autoriteit, namens betrokkenen het recht op een voorziening in rechte uit te oefenen of, indien het lidstatelijke recht daarin voorziet, namens betrokkenen het recht op schadevergoeding uit te oefenen.
(Overweging 143) Iedere natuurlijke of rechtspersoon heeft het recht om bij het Hof van Justitie een beroep tot nietigverklaring van de besluiten van het Comité in te stellen onder de voorwaarden van artikel 263 van het Verdrag betreffende de werking van de Europese Unie. Na ontvangst van dergelijke besluiten moeten de betrokken toezichthoudende autoriteiten die deze wensen aan te vechten, dit binnen twee maanden na kennisgeving ervan doen, overeenkomstig artikel 263 van het Verdrag betreffende de werking van de Europese Unie. …
Indien een klacht door een toezichthoudende autoriteit is afgewezen of geweigerd, kan de klager een zaak aanhangig maken bij de rechtbanken van diezelfde lidstaat. …
(Overweging 144) Indien een rechterlijke instantie waarbij een rechtsvordering is ingesteld tegen een besluit van een toezichthoudende autoriteit, reden heeft om aan te nemen dat handelingen betreffende dezelfde verwerking, bijvoorbeeld hetzelfde onderwerp, uitgevoerd door dezelfde verwerkingsverantwoordelijke of verwerker, of dezelfde grond voor een rechtsvordering, aanhangig zijn gemaakt bij een bevoegde rechterlijke instantie in een andere lidstaat, dient zij contact op te nemen met die andere rechterlijke instantie om het bestaan van dergelijke gerelateerde vorderingen te bevestigen. …
(Overweging 145) Met betrekking tot rechtsvorderingen tegen een verwerkingsverantwoordelijke of een verwerker moet de verzoeker ervoor kunnen kiezen de rechtsvordering in te stellen bij de gerechten van de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft of in de lidstaat waar de betrokkene woont, tenzij de verwerkingsverantwoordelijke een overheidsinstantie van een lidstaat is die handelt in de uitoefening van haar overheidsbevoegdheden.
(Overweging 146) De verwerkingsverantwoordelijke of verwerker dient alle schade te vergoeden die een betrokkene lijdt als gevolg van verwerking die in strijd is met deze verordening. De verwerkingsverantwoordelijke of verwerker dient van aansprakelijkheid te worden vrijgesteld indien hij bewijst dat de schade op geen enkele wijze aan hem kan worden toegerekend. … Wanneer verwerkingsverantwoordelijken en verwerkers echter bij dezelfde gerechtelijke procedure betrokken zijn, kan overeenkomstig het recht van een lidstaat de schadevergoeding worden verdeeld op basis van de mate waarin elke verwerkingsverantwoordelijke of verwerker verantwoordelijk is voor de door de verwerking veroorzaakte schade, mits de door de betrokkene geleden schade volledig en doeltreffend wordt vergoed. …
(Overweging 148) Om de handhaving van de regels van deze verordening te versterken, moeten sancties, waaronder administratieve boetes, worden opgelegd voor elke inbreuk op deze verordening, in aanvulling op of in plaats van passende maatregelen die door de toezichthoudende autoriteit krachtens deze verordening worden opgelegd. In geval van een kleine inbreuk of indien de boete die kan worden opgelegd een onevenredige last voor een natuurlijke persoon zou betekenen, kan in plaats van een boete een waarschuwing worden gegeven. Er moet echter naar behoren rekening worden gehouden met de aard, ernst en duur van de inbreuk, het opzettelijke karakter van de inbreuk en de maatregelen die zijn genomen om de geleden schade te beperken, de mate van verantwoordelijkheid of eerdere relevante inbreuken, hoe de toezichthoudende autoriteit op de hoogte is geraakt van de inbreuk, de naleving van maatregelen die tegen de verwerkingsverantwoordelijke of verwerker zijn bevolen, de toepassing van een gedragscode en alle andere verzwarende of verzachtende omstandigheden. De toepassing van sancties, waaronder administratieve boetes, moet onderworpen zijn aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het Unierecht en het Handvest, waaronder het recht op effectieve rechtsbescherming en een eerlijk proces.
(Overweging 150) Om de administratieve sancties die van toepassing zijn op inbreuken op deze verordening te versterken en te harmoniseren, dient elke toezichthoudende autoriteit de bevoegdheid te hebben administratieve boetes op te leggen. Deze verordening dient de inbreuken, het maximumbedrag en de criteria voor het vaststellen van de administratieve boetes waaraan zij onderworpen zijn, te definiëren. Deze dienen door de bevoegde toezichthoudende autoriteit per geval te worden vastgesteld, rekening houdend met alle specifieke kenmerken van elk geval en met inachtneming van met name de aard, de ernst en de duur van de inbreuk en de gevolgen ervan, alsmede de maatregelen die zijn genomen om de naleving van de uit de verordening voortvloeiende verplichtingen te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. …
(Overweging 152) Wanneer deze verordening de administratieve sancties niet harmoniseert of, indien nodig in andere omstandigheden, bijvoorbeeld in gevallen van ernstige inbreuken op deze verordening, dienen de lidstaten een systeem in te voeren dat voorziet in doeltreffende, evenredige en afschrikkende sancties. De aard van deze sancties, strafrechtelijk of administratief, dient te worden bepaald door het recht van de lidstaten.
(Overweging 153) Het recht van de lidstaten dient de regels inzake de vrijheid van meningsuiting en informatie, met inbegrip van journalistieke, academische, artistieke of literaire expressie, in overeenstemming te brengen met het recht op bescherming van persoonsgegevens krachtens deze verordening. In het kader van de verwerking van persoonsgegevens uitsluitend voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire expressie, dient te worden voorzien in afwijkingen of vrijstellingen van sommige bepalingen van deze verordening indien dit noodzakelijk is om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met het recht op vrijheid van meningsuiting en informatie, zoals vastgelegd in artikel 11 van het Handvest. …
(Overweging 154) Deze verordening maakt het mogelijk dat bij de toepassing ervan rekening wordt gehouden met het beginsel van openbare toegang tot officiële documenten. Openbare toegang tot officiële documenten kan worden beschouwd als in het algemeen belang. …
(Overweging 155) In de wetgeving van de lidstaat of in collectieve overeenkomsten, met inbegrip van 'bedrijfsakkoorden', kunnen specifieke regels worden vastgelegd voor de verwerking van persoonsgegevens van werknemers in het kader van een arbeidsverhouding, met inbegrip van de voorwaarden waaronder persoonsgegevens in het kader van een arbeidsverhouding mogen worden verwerkt op basis van toestemming van de werknemer, voor de doeleinden van aanwerving, uitvoering van de arbeidsovereenkomst, met inbegrip van de naleving van wettelijke of collectieve verplichtingen, beheer, planning en organisatie van het werk, gelijkheid en diversiteit op de werkplek, gezondheid en veiligheid op het werk en voor de uitoefening en het genot van arbeidsrechten en -voordelen, individueel of collectief, alsmede voor de beëindiging van de arbeidsverhouding.
(Overweging 162) Wanneer persoonsgegevens voor statistische doeleinden worden verwerkt, dient deze verordening op die verwerking van toepassing te zijn. Het Unierecht of het lidstatelijke recht dient, binnen de grenzen van deze verordening, de statistische inhoud te bepalen, de controle op de toegang tot de gegevens te definiëren en specifieke bepalingen vast te stellen voor de verwerking van persoonsgegevens voor statistische doeleinden, alsmede passende maatregelen ter bescherming van de rechten en vrijheden van de betrokkene en ter handhaving van de statistische vertrouwelijkheid. …
(Overweging 163) Vertrouwelijke informatie die door de statistische instanties van de Unie en de lidstaten wordt verzameld met het oog op de productie van officiële Europese en nationale statistieken, moet worden beschermd.
(Overweging 164) Wat betreft de bevoegdheden van de toezichthoudende autoriteiten om van de verwerkingsverantwoordelijke of de verwerker toegang tot persoonsgegevens en tot hun gebouwen te verkrijgen, kunnen de lidstaten, binnen de grenzen van deze verordening, bij wet specifieke regels vaststellen om de naleving van het beroepsgeheim of andere gelijkwaardige geheimhoudingsplichten te waarborgen, voor zover dit noodzakelijk is om het recht op bescherming van persoonsgegevens en de geheimhoudingsplicht met elkaar in overeenstemming te brengen. …
(Overweging 166) Om de doelstellingen van deze verordening te verwezenlijken, namelijk de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name hun recht op bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van die gegevens binnen de Unie, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. Met name moeten gedelegeerde handelingen worden vastgesteld met betrekking tot de criteria en vereisten voor certificeringsmechanismen, de informatie die in de vorm van gestandaardiseerde iconen moet worden gepresenteerd en de procedures voor het verstrekken van dergelijke iconen. …
(Overweging 168) Gezien de algemene reikwijdte van de betrokken handelingen moet de onderzoeksprocedure worden gebruikt voor de vaststelling van uitvoeringshandelingen met betrekking tot standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers en tussen verwerkers; gedragscodes; technische normen en certificeringsmechanismen; …
(Overweging 170) Aangezien de doelstelling van deze verordening, namelijk het waarborgen van een gelijkwaardig beschermingsniveau voor natuurlijke personen en het vrije verkeer van persoonsgegevens in de gehele Unie, niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het optreden beter door de Unie kan worden verwezenlijkt, kan de Unie maatregelen nemen om...
NL 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL