3.5.2016

NL

Publicatieblad van de Europese Unie

C 159/83

---

Motivering van de Raad: Standpunt (EU) nr. 6/2016 van de Raad in eerste lezing met het oog op de vaststelling van een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

(2016/C 159/02)

I.   INLEIDING

De Commissie heeft op 25 januari 2012 een brede hervorming van de gegevensbeschermingswetgeving voorgesteld. Die bestaat uit:

—	het in hoofde genoemde voorstel voor een algemene verordening gegevensbescherming, die in de plaats moet komen van de richtlijn gegevensbescherming uit 1995 (vroegere eerste pijler);

—

een voorstel voor een richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, die het kaderbesluit gegevensbescherming uit 2008 (vroegere derde pijler) moet vervangen.

Het Europees Parlement heeft zijn standpunt in eerste lezing over het voorstel voor een algemene verordening gegevensbescherming op 12 maart 2014 vastgesteld (7427/14).

De Raad is het op 15 juni 2015 eens geworden over een algemene oriëntatie en heeft het voorzitterschap aldus een mandaat gegeven om met het Europees Parlement trialooggesprekken aan te gaan (9565/15).

Het Europees Parlement en de Raad hebben, op het niveau van respectievelijk de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en het Comité van permanente vertegenwoordigers, op respectievelijk 17 en 18 december 2015 bevestigd het eens te zijn over de compromistekst die uit de trialoogonderhandelingen is voortgekomen.

De Raad heeft tijdens zijn zitting van 12 februari 2016 een politiek akkoord over de ontwerpverordening bereikt (5455/15). Op 8 april 2016 heeft de Raad zijn standpunt in eerste lezing vastgesteld, dat volledig overeenstemt met de compromistekst over de verordening die tijdens de informele onderhandelingen tussen de Raad en het Europees Parlement is overeengekomen.

Het Economisch en Sociaal Comité heeft in 2012 advies uitgebracht over de verordening (PB C 229 van 31.7.2012, blz. 90).

Het Comité van de Regio's heeft in 2012 advies uitgebracht over de verordening (PB C 391 van 18.12.2012, blz. 127).

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd en heeft zowel in 2012 (PB C 192 van 30.6.2012, blz. 7) als in 2015 (PB C 301 van 12.9.2015, blz. 1-8) advies uitgebracht.

Het Bureau voor de grondrechten heeft op 1 oktober 2012 advies uitgebracht.

II.   DOELSTELLING

De algemene verordening gegevensbescherming harmoniseert de gegevensbeschermingsregels in de Europese Unie. De verordening heeft tot doel de rechten van natuurlijke personen op het gebied van gegevensbescherming te versterken, het vrije verkeer van persoonsgegevens binnen de eengemaakte markt te vergemakkelijken en de administratieve rompslomp terug te dringen.

III.   ANALYSE VAN HET STANDPUNT VAN DE RAAD IN EERSTE LEZING

A.    Algemene opmerkingen

In het licht van de doelstelling van de Europese Raad om vóór het einde van 2015 overeenstemming te bereiken over de hervorming van de gegevensbescherming, hebben het Europees Parlement en de Raad informele onderhandelingen gevoerd om hun standpunten op elkaar af te stemmen. De tekst van het standpunt van de Raad in eerste lezing over de algemene verordening gegevensbescherming is een integrale weergave van het compromis dat de medewetgevers, bijgestaan door de Commissie, hebben bereikt.

Het standpunt van de Raad in eerste lezing handhaaft de doelstellingen van Richtlijn 95/46/EG: bescherming van de rechten inzake gegevensbescherming en het vrije verkeer van gegevens. Tegelijkertijd wordt ernaar gestreefd de huidige gegevensbeschermingsregels aan te passen aan het steeds grotere volume aan persoonsgegevens dat als gevolg van technologische verandering en de globalisering wordt verwerkt. Om de verordening toekomstbestendig te maken zijn de gegevensbeschermingsregels van het standpunt van de Raad in eerste lezing technologieneutraal opgesteld.

Teneinde natuurlijke personen in de hele Unie een consistent beschermingsniveau te bieden en te voorkomen dat verschillen in de wetgeving het vrije verkeer van persoonsgegevens binnen de interne markt hinderen, voorziet het standpunt van de Raad in eerste lezing in ruime mate in één geheel van regels dat rechtstreeks van toepassing is in de hele Unie. Deze harmonisering zal een einde maken aan de versnippering die als gevolg van de uiteenlopende nationale wetten ter uitvoering van Richtlijn 95/46 is ontstaan. Om rekening te houden met de vereisten van specifieke situaties inzake gegevensverwerking, ook in de publieke sector, laat het standpunt van de Raad in eerste lezing de lidstaten evenwel de ruimte om de toepassing van de bij de verordening vervatte gegevensbeschermingsregels nader te omschrijven in hun nationaal recht.

De bescherming van persoonsgegevens is een grondrecht vastgelegd in artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie. Bovendien schrijft artikel 16 van het Verdrag betreffende de werking van de Europese Unie voor dat eenieder, ongeacht zijn nationaliteit of verblijfplaats, recht heeft op bescherming van zijn persoonsgegevens, en dat te dien einde en met het oog op het vrij verkeer van persoonsgegevens voorschriften moeten worden vastgesteld. Op grond daarvan worden in het standpunt van de Raad in eerste lezing de beginselen en regels vastgesteld inzake de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens.

Met het oog op de doelstellingen van de verordening wordt in het standpunt van de Raad in eerste lezing de verantwoordingsplicht van verwerkingsverantwoordelijken (bevoegd voor het bepalen van de doeleinden en de middelen van de verwerking van persoonsgegevens) en verwerkers (bevoegd voor het verwerken van persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke) verzwaard, teneinde een echte gegevensbeschermingscultuur in de hand te werken. Tegen deze achtergrond wordt in de hele verordening gekozen voor een aanpak op basis van risicoanalyse, waarbij de verplichtingen van de verwerkingsverantwoordelijke en de verwerker worden aangepast aan het risico van de gegevensverwerking die zij verrichten. Voorts moeten gedragscodes en certificeringsmechanismen bijdragen tot de eerbiediging van de gegevensbeschermingsregels. Zo wordt een al te prescriptieve aanpak vermeden en worden de administratieve lasten beperkt zonder dat dit ten koste gaat van de naleving. Bovendien zet het ontradende karakter van de sancties die kunnen worden opgelegd, verwerkingsverantwoordelijken ertoe aan de verordening na te leven.

Ook verlenen de nieuwe gegevensbeschermingsregels in het standpunt van de Raad in eerste lezing de burger versterkte en afdwingbare rechten. Zo krijgt hij meer controle over zijn persoonsgegevens, wat leidt tot meer vertrouwen in grensoverschrijdende onlinediensten en bijgevolg ook tot een sterkere digitale eengemaakte markt. Kinderen behoeven bijzondere bescherming, aangezien zij zich mogelijk minder bewust zijn van de aan de verwerking van persoonsgegevens verbonden risico's en van hun rechten.

Voorts versterkt het standpunt van de Raad in eerste lezing de onafhankelijkheid van toezichthoudende autoriteiten, en worden hun taken en bevoegdheden geharmoniseerd. De regels voor samenwerking tussen toezichthoudende autoriteiten en, in voorkomend geval, met de Commissie in grensoverschrijdende zaken - het coherentiemechanisme - zullen bijdragen tot een samenhangende toepassing van de verordening in de hele Europese Unie. Dit zal de rechtszekerheid vergroten en de administratieve last verkleinen. Bovendien zal het één-loketmechanisme ervoor zorgen dat verwerkingsverantwoordelijken en verwerkers over één aanspreekpunt beschikken voor hun grensoverschrijdende verwerkingsactiviteiten, waarbij in geval van geschillen het nieuw opgerichte Europees Comité voor gegevensbescherming bindende besluiten kan nemen. Dankzij dit mechanisme zal de verordening consequenter worden toegepast. Bovendien zal het meer rechtszekerheid bieden en de administratieve rompslomp verkleinen.

Tot slot vestigt het standpunt van de Raad in eerste lezing een uitgebreid kader voor de doorgifte van persoonsgegevens van de Europese Unie aan ontvangers in derde landen of internationale organisatie. Dat kader omvat in vergelijking met Richtlijn 95/46/EG nieuwe instrumenten.

B.    Belangrijkste punten

De Raad en het Europees Parlement, bijgestaan door de Europese Commissie, hebben informele onderhandelingen gevoerd om hun standpunten op elkaar af te stemmen; het resultaat daarvan is respectievelijk de algemene oriëntatie van de Raad en het standpunt van het Parlement in eerste lezing. Het standpunt van de Raad in eerste lezing over de algemene verordening gegevensbescherming is een integrale weergave van de bereikte compromissen. Hieronder volgen de belangrijkste elementen van het standpunt van de Raad in eerste lezing.

1.    Toepassingsgebied

1.1.   Materieel toepassingsgebied van de verordening en afstemming op de rechtshandhavingsrichtlijn

Het standpunt van de Raad in eerste lezing bepaalt dat de algemene verordening gegevensbescherming van toepassing is op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, en op de niet-geautomatiseerde verwerking van persoonsgegevens die zijn opgenomen in een gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, of die bestemd zijn om daarin te worden opgenomen. Het materieel toepassingsgebied van de algemene verordening gegevensbescherming en het toepassingsgebied van de richtlijn gegevensbescherming bij rechtshandhaving sluiten elkaar uit. Gespecificeerd wordt dat de verordening niet geldt voor de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Deze afbakening stelt rechtshandhavingsautoriteiten, en met name de politie, in staat om in de regel het gegevensbeschermingsregime van de richtlijn toe te passen, zonder dat dit ten koste gaat van een consistent en hoog niveau van bescherming van persoonsgegevens voor natuurlijke personen die met rechtshandhavingsoperaties te maken krijgen.

1.2.   EU-instellingen en organen

Met het oog op een uniforme en consistente bescherming van betrokkenen in verband met de verwerking van hun persoonsgegevens stipuleert het standpunt van de Raad in eerste lezing dat na de vaststelling van de algemene verordening gegevensbescherming werk dient te worden gemaakt van de nodige aanpassingen aan Verordening (EG) nr. 45/2001, die de instellingen, organen en instanties van de Unie betreft, opdat die verordening op hetzelfde moment van toepassing kan worden als de algemene verordening gegevensbescherming.

1.3.   Vrijstelling voor huishoudelijke activiteiten

Om regelgeving te voorkomen die een onnodige last voor natuurlijke personen met zich mee zouden brengen, bepaalt het standpunt van de Raad in eerste lezing dat de verordening niet van toepassing is op de verwerking van persoonsgegevens door natuurlijke personen in de loop van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een professionele of commerciële activiteit.

1.4.   Territoriaal toepassingsgebied

Het territoriaal toepassingsgebied in het standpunt van de Raad in eerste lezing creëert een gelijk speelveld voor verwerkingsverantwoordelijken en verwerkers: het omvat alle verwerkingsverantwoordelijken en alle verwerkers, ongeacht of zij in de Unie gevestigd zijn.

Ten eerste stipuleert de verordening dat de gegevensbeschermingsregels van toepassing zijn op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking zelf in de Unie plaatsvindt. Ten tweede wordt, om natuurlijke personen de garantie te bieden dat hun gegevens worden beschermd, bepaald dat de verordening van toepassing is op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, ook indien een verwerkingsverantwoordelijke of een verwerker niet in de Unie gevestigd is, maar zijn verwerkingsactiviteiten verband houden met het aanbieden van goederen of diensten aan die betrokkenen in de Unie, of met het observeren van hun gedrag voor zover zich dat binnen de Europese Unie situeert. Deze afbakening van het toepassingsgebied moet tevens tot meer rechtszekerheid voor verwerkingsverantwoordelijken en betrokkenen (de natuurlijke personen wier gegevens worden verwerkt) leiden.

Het standpunt van de Raad in eerste lezing waarborgt tevens dat betrokkenen en toezichthoudende autoriteiten een aanspreekpunt hebben in de EU, voor het geval de verwerkingsverantwoordelijken of de verwerkers niet in de Unie zijn gevestigd, maar wel onder het toepassingsgebied van de verordening vallen: zij dienen schriftelijk een vertegenwoordiger in de Unie aanwijzen. Om onnodige administratieve lasten te voorkomen, geldt deze verplichting niet voor verwerkingen die waarschijnlijk geen risico voor de rechten en vrijheden van natuurlijke personen inhouden, en voor verwerking door een overheidsinstantie of -lichaam van het derde land.

2.    Beginselen in verband met de verwerking van persoonsgegevens

De beginselen inzake gegevensverwerking zijn van toepassing op alle gegevens over een identificeerbare natuurlijke persoon, waaronder gegevens die niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat gegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld(pseudonimisering). In vergelijking met Richtlijn 95/46 biedt de verordening ruim continuïteit met betrekking tot de beginselen inzake de verwerking van persoonsgegevens. Wel is het beginsel 'gegevensminimalisering' aangepast om rekening te houden met de digitale realiteit en om tot een evenwicht te komen tussen de bescherming van de persoonsgegevens, enerzijds, en de mogelijkheden voor verwerkingsverantwoordelijken om gegevens te verwerken, anderzijds.

3.    Rechtmatigheid van verwerking

3.1.   Voorwaarden voor rechtmatigheid

Ter wille van de rechtszekerheid bouwt het standpunt van de Raad in eerste lezing voort op Richtlijn 95/46 en wordt gespecificeerd dat verwerking van persoonsgegevens slechts rechtmatig is wanneer ten minste aan een van de volgende voorwaarden is voldaan:

—	toestemming van de betrokkene voor een of meer specifieke doeleinden;

—	een overeenkomst;

—	een wettelijke verplichting;

—	bescherming van de vitale belangen van de betrokkene of een andere natuurlijke persoon;

—	een taak die wordt vervuld in het algemeen belang of in het kader van de uitoefening van openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

—	de gerechtvaardigde belangen van een verwerkingsverantwoordelijke of van een derde.

Twee voorwaarden behoeven toelichting: toestemming en de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

3.1.1.   Toestemming

Om de verwerking van hun persoonsgegevens mogelijk te maken, kan een betrokkene zijn toestemming voor de verwerking geven door middel van een duidelijke actieve handeling waaruit blijkt dat hij vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van hem betreffende persoonsgegevens akkoord gaat. Deze toestemming geldt voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doelen dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor alle verwerkingsdoeleinden worden verleend. Bovendien moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming voor de verwerking heeft gegeven. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit geldt derhalve niet als toestemming. De afbakening van het begrip toestemming zorgt voor continuïteit met het acquis dat zich rond het gebruik van dit concept heeft ontwikkeld op grond van Richtlijn 95/46/EG, en draagt bij tot een gezamenlijke interpretatie en toepassing van 'toestemming' in de hele Europese Unie.

Ter bescherming van de gegevensbeschermingsrechten van de betrokkene wordt voorts gespecificeerd dat, indien de betrokkene zijn toestemming heeft gegeven in het kader van een schriftelijke verklaring die ook op andere zaken betrekking heeft, ieder gedeelte van die verklaring dat een inbreuk vormt op de verordening, niet bindend is. Bovendien moet bij het beoordelen van de vraag of de toestemming vrijelijk is gegeven, ten volle in aanmerking worden genomen, onder meer, of de uitvoering van een overeenkomst afhankelijk werd gesteld van toestemming met een verwerking die niet noodzakelijk was voor de uitvoering van de overeenkomst.

Tot slot voorziet het standpunt van de Raad in eerste lezing, om afwijkingen van het algemeen verbod op de verwerking van bijzondere categorieën van persoonsgegevens mogelijk te maken, hiervoor in een hogere drempel dan voor andere vormen van verwerking: de betrokkene moet uitdrukkelijk toestemming geven voor de verwerking van dergelijke gevoelige persoonsgegevens.

Voor kinderen voorziet het standpunt van de Raad in eerste lezing in een specifieke beschermingsregeling inzake de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij. De verwerking van persoonsgegevens van een kind jonger dan de maximumleeftijd van 16 jaar is rechtmatig indien redelijkerwijs, in het licht van de beschikbare technologie, kan worden geverifieerd dat de toestemming of machtiging tot toestemming wordt verleend door de persoon die de ouderlijke verantwoordelijkheid over het kind draagt. Lidstaten die dat wenselijk vinden, mogen een lagere maximumleeftijd - maar niet lager dan 13 jaar - vaststellen.

3.1.2.   Gerechtvaardigd belang van de verwerkingsverantwoordelijke

Het verwerken van persoonsgegevens kan rechtmatig zijn indien de verwerking noodzakelijk is om de gerechtvaardigde belangen van een verwerkingsverantwoordelijke of een derde te behartigen. Gerechtvaardigde belangen die ondergeschikt zijn aan belangen of grondrechten en fundamentele vrijheden van de betrokkene welke tot bescherming van persoonsgegevens nopen, met name wanneer de betrokkene een kind is, vormen evenwel geen toereikende grond om een verwerking als rechtmatig aan te merken.

Het bestaan van een gerechtvaardigd belang moet worden aangetoond, waarbij onder meer moet worden nagegaan of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs kan verwachten dat verwerking ter behartiging van dat belang kan plaatsvinden. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang. De verwerking van persoonsgegevens door overheidsinstanties in het kader van de uitvoering van hun taken is niet gebaseerd op de rechtsgrond van het gerechtvaardigd belang, omdat het de nationale wetgever is die de rechtsgrondslag voor de verwerking van persoonsgegevens door overheidsinstanties vaststelt.

3.2.   Specifieke lidstatelijke regels om de toepassing van de verordening aan te passen

Het standpunt van de Raad in eerste lezing laat de lidstaten de ruimte specifiekere bepalingen te behouden of in te voeren om de toepassing van de regels van de verordening aan te passen indien persoonsgegevens worden verwerkt om aan een wettelijke verplichting te voldoen, of omdat dit nodig is voor de vervulling van een taak van algemeen belang of een taak in het kader van de uitoefening van openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Voorts wordt voorzien in afwijkingen, specifieke voorschriften en andere maatregelen voor specifieke verwerkingen waarbij de lidstaten het recht op bescherming van persoonsgegevens verzoenen met het recht op vrijheid van meningsuiting en op informatie, de toegang van het publiek tot officiële documenten, verwerking van nationale identificatienummers, verwerking in het kader van de arbeidsverhouding en verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek en statistische doelen.

3.3.   Verdere verwerking

Het standpunt van de Raad in eerste lezing bepaalt dat verwerking voor een ander doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld, slechts rechtmatig is indien die verdere verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verwerkt. Indien echter de betrokkene zijn toestemming heeft gegeven of indien de verwerking gebaseerd is op Unierecht of lidstatelijk recht dat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt voor met name het vrijwaren van belangrijke doelstellingen van algemeen belang, is de verwerkingsverantwoordelijke gemachtigd de persoonsgegevens verder te verwerken, ongeacht of zulks verenigbaar is met de doeleinden. De rechten van de betrokkene zijn versterkt in het geval van verdere verwerking, in het bijzonder wat betreft het recht op informatie en het recht om bezwaar te maken tegen verdere verwerking die niet noodzakelijk is voor de uitvoering van een taak van algemeen belang.

Om na te gaan of een doel van een verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke onder meer rekening houden met eventuele verbanden tussen de oorspronkelijke doeleinden en de doeleinden van de voorgenomen verdere verwerking, het kader waarin de persoonsgegevens zijn verzameld, met name de redelijke verwachtingen van de betrokkene - op basis van zijn verhouding met de verwerkingsverantwoordelijke - betreffende het verdere gebruik ervan, de aard van de persoonsgegevens, de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen en het bestaan van passende waarborgen bij zowel de aanvankelijke als de voorgenomen verdere verwerkingen.

3.4.   Verwerking van bijzondere categorieën van persoonsgegevens

Persoonsgegevens die door hun aard bijzonder gevoelig zijn, verdienen specifieke bescherming aangezien de verwerking ervan grote risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden van natuurlijke personen. In zijn standpunt in eerste lezing blijft de Raad daarom in de regel bij de benadering van Richtlijn 95/46 door het verwerken van bijzondere categorieën van persoonsgegevens te verbieden.

In afwijking van deze regel is het verwerken van gevoelige gegevens alleen in bepaalde situaties, die limitatief worden opgesomd, toegestaan. Het gaat dan bijvoorbeeld om gevallen waarin de betrokkene uitdrukkelijk toestemming heeft gegeven, de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, of voor andere doeleinden, onder meer op het gebied van gezondheid.

Tot slot is in het standpunt van de Raad in eerste lezing bepaald dat lidstaten aanvullende voorwaarden kunnen invoeren, waaronder beperkingen, met betrekking tot de verwerking van genetische, biometrische of gezondheidsgegevens. Deze aanvullende voorwaarden mogen echter geen belemmering vormen voor het vrije verkeer van gegevens binnen de Unie.

4.    Een sterkere positie voor betrokkenen

4.1.   Inleiding

Het standpunt van de Raad in eerste lezing versterkt de positie van betrokkenen door hun meer rechten inzake gegevensbescherming te verlenen en aan verwerkingsverantwoordelijken verplichtingen op te leggen. De rechten van de betrokkene omvatten het recht op informatie; het recht op inzage van persoonsgegevens; het recht op rectificatie; het recht op wissing van persoonsgegevens, met inbegrip van het "recht op vergetelheid"; het recht op beperking van de verwerking; het recht op gegevensoverdraagbaarheid; het recht van bezwaar; en het recht om niet te worden onderworpen aan louter op geautomatiseerde verwerking gebaseerde besluiten, waaronder profilering. De rechten die in vergelijking met Richtlijn 95/46 aanzienlijke wijzigingen hebben ondergaan, worden hierna verder toegelicht.

Verwerkingsverantwoordelijken hebben de plicht het uitoefenen van de rechten van betrokkenen te faciliteren en persoonsgegevens te verwerken overeenkomstig het transparantiebeginsel, in het bijzonder door informatie te verstrekken over de door hen uitgevoerde verwerkingen van persoonsgegevens.

Indien de verwerkingsverantwoordelijke een betrokkene evenwel niet aan de hand van de door hem verwerkte persoonsgegevens kan identificeren, is hij niet verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene te verkrijgen.

Onverminderd de genoemde rechten van betrokkenen en verplichtingen voor verwerkingsverantwoordelijken houdt de Raad in zijn standpunt in eerste lezing de benadering van Richtlijn 95/46 aan door beperkingen van de algemene beginselen en de rechten van natuurlijke personen mogelijk te maken, ingeval een dergelijke beperking op het Unierecht of het lidstatelijke recht is gebaseerd. Deze beperkingen moeten de wezenlijke inhoud van de grondrechten en fundamentele vrijheden eerbiedigen en in een democratische samenleving noodzakelijk en evenredig zijn om bepaalde algemene belangen te waarborgen.

4.2.   Transparantie

Overeenkomstig het transparantiebeginsel moeten verwerkingsverantwoordelijken in een beknopte, transparante, bevattelijke en makkelijk toegankelijke vorm informatie verstrekken en communiceren over de verwerking van persoonsgegevens, in duidelijke en eenvoudige taal, in het bijzonder wanneer de informatie voor een kind bestemd is. De informatie moet schriftelijk of met andere middelen worden verstrekt, waar passend in elektronische vorm.

Het standpunt van de Raad in eerste lezing legt termijnen vast voor verzoeken aan de verwerkingsverantwoordelijke om informatie, communicatie of ander optreden, waaraan in de regel gratis moet worden voldaan. Wanneer verzoeken van een betrokkene echter kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie, de communicatie en het treffen van de gevraagde maatregelen gepaard gaan, dan wel weigeren gevolg te geven aan het verzoek. In die gevallen is het aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

4.3.   Informatieverstrekking en communicatie door de verwerkingsverantwoordelijke

Teneinde een evenwicht te vinden tussen het verstrekken van voldoende informatie aan betrokkenen over de verwerking van hun persoonsgegevens, enerzijds, en het vermijden van omslachtige verplichtingen voor verwerkingsverantwoordelijken, anderzijds, hanteert de Raad in zijn standpunt in eerste lezing een tweestappenaanpak om ervoor te zorgen dat betrokkenen correct worden geïnformeerd, zowel wanneer de persoonsgegevens van de betrokkene worden verkregen, als wanneer zulks niet het geval is. In een eerste stap is de verwerkingsverantwoordelijke, op het moment dat de persoonsgegevens worden verkregen, verplicht de in de verordening vermelde informatie aan de betrokkene te verstrekken. In een tweede stap moet de verwerkingsverantwoordelijke aanvullende, in de verordening genoemde informatie verstrekken die nodig is voor een behoorlijke en efficiënte verwerking. De verwerkingsverantwoordelijke informeert de betrokkene ook wanneer hij voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens aanvankelijk zijn verzameld.

De verwerkingsverantwoordelijke is niet verplicht de vermelde informatie te verstrekken, in de eerste noch in de tweede stap, wanneer de betrokkene al over de informatie beschikt. Indien de persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke geen informatie aan de betrokkene ingeval de vastlegging of verstrekking aan derden van de gegevens uitdrukkelijk bij wet is voorgeschreven of de verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite zou kosten.

Tot slot zijn verwerkingsverantwoordelijken verplicht elke rectificatie, wissing of beperking van verwerking mee te delen aan elke ontvanger aan wie de persoonsgegevens zijn verstrekt, tenzij dit onmogelijk blijkt of onevenredig veel moeite zou kosten. De verwerkingsverantwoordelijke moet de betrokkene bovendien over deze ontvangers informeren indien de betrokkene hierom verzoekt.

4.4.   Iconen

Overeenkomstig de beginselen van transparante verwerking wordt de betrokkene ingelicht over het feit dat er verwerking plaatsvindt en waartoe. Tegen deze achtergrond bepaalt het standpunt van de Raad in eerste lezing dat aan betrokkenen verstrekte informatie vergezeld kan gaan van gestandaardiseerde iconen. Verwerkingsverantwoordelijken kunnen op vrijwillige basis beslissen of het gebruik van deze gestandaardiseerde iconen nuttig zou zijn voor de door hen uitgevoerde verwerking van persoonsgegevens. De iconen moeten op een makkelijk zichtbare, bevattelijke en duidelijk leesbare manier een nuttig overzicht van de voorgenomen verwerking bieden. De iconen moeten samen met de informatie worden verstrekt. Elektronisch weergegeven iconen moeten machineleesbaar zijn. Teneinde bij te dragen tot het gestandaardiseerd gebruik van iconen in de EU, wordt de Commissie bij deze verordening gemachtigd gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen moeten weergeven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen. Het Europees Comité voor gegevensbescherming moet advies uitbrengen over de door de Commissie voorgestelde iconen. Het feit dat de Commissie gedelegeerde handelingen kan vaststellen, verhindert het Europees Comité voor gegevensbescherming niet richtsnoeren, adviezen en beste praktijken te formuleren inzake iconen.

4.5.   Recht op inzage

De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer die persoonsgegevens inderdaad worden verwerkt, om inzage te krijgen van de in de verordening vermelde informatie. In het licht daarvan is in de verordening bepaald dat de verwerkingsverantwoordelijke kosteloos een kopie van de persoonsgegevens die worden verwerkt, moet verstrekken. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke een redelijke vergoeding voor de administratieve kosten aanrekenen. Het recht om een kopie te verkrijgen, mag geen afbreuk doen aan de rechten en vrijheden van anderen.

4.6.   Recht op wissing van gegevens ("recht op vergetelheid")

Het standpunt van de Raad in eerste lezing geeft betrokkenen het recht hen betreffende persoonsgegevens te laten wissen indien de verwerking van die gegevens niet strookt met de verordening of met Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Met de verwijzing naar het "recht op vergetelheid" wordt erkend dat het met name in een digitale context noodzakelijk is het recht op wissing aan te passen. Verwerkingsverantwoordelijken die de persoonsgegevens waarvan de betrokkene wil dat ze vergeten worden, openbaar heeft gemaakt, moeten redelijke maatregelen treffen, ook op technisch niveau, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, op de hoogte te stellen van het verzoek van de betrokkene iedere koppeling met, of kopie of reproductie van die gegevens te wissen, rekening houdend met de beschikbare technologie en de uitvoeringskosten. Het Europees Comité voor gegevensbescherming kan richtsnoeren, aanbevelingen en beste praktijken formuleren inzake procedures voor het wissen van koppelingen, kopieën of reproducties van persoonsgegevens uit algemeen beschikbare communicatiediensten.

Het recht op wissing en de verplichting voor de verwerkingsverantwoordelijke om andere verwerkingsverantwoordelijken van het verzoek tot wissing op de hoogte te stellen, geldt niet voor zover de verwerking van persoonsgegevens nodig is voor bepaalde limitatief opgesomde doeleinden uit de verordening, zoals het recht op vrijheid van meningsuiting en informatie.

4.7.   Recht op gegevensoverdraagbaarheid

Het standpunt van de Raad in eerste lezing bepaalt dat indien de verwerking van persoonsgegevens wordt uitgevoerd via geautomatiseerde procedés, betrokkenen het recht hebben de hen betreffende persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerde, gangbare, machineleesbare en interoperabele vorm te ontvangen en deze gegevens aan een andere verwerkingsverantwoordelijke door te zenden. Bovendien wordt verduidelijkt dat betrokkenen, indien dat technisch haalbaar is, de persoonsgegevens rechtstreeks mogen laten doorzenden van de ene verwerkingsverantwoordelijke naar de andere. Hierdoor krijgen de betrokkenen nog meer controle over hun gegevens. Het bevordert tevens de concurrentie tussen verwerkingsverantwoordelijken.

Dit recht op overdraagbaarheid van gegevens geldt evenwel niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Indien een bepaalde reeks persoonsgegevens meer dan één betrokkene betreft, laat het recht van een betrokkene om de persoonsgegevens te ontvangen de rechten en vrijheden van anderen voorts onverlet.

4.8.   Recht van bezwaar

Wanneer een verwerking van persoonsgegevens rechtmatig zou zijn, omdat zij nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dan wel op grond van een gerechtvaardigd belang van een verwerkingsverantwoordelijke of een derde, is een betrokkene niettemin gerechtigd bezwaar te maken tegen de verwerking van persoonsgegevens die op zijn specifieke situatie betrekking hebben. In dat geval mag de verwerkingsverantwoordelijke de verwerking van de persoonsgegevens niet voortzetten tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aantoont die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

Tegen die achtergrond wordt verduidelijkt dat wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, de betrokkene te allen tijde het recht heeft bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens. Dit omvat ook profilering, voor zover die met dergelijke direct marketing verband houdt. Profilering wordt gedefinieerd als elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met de bedoeling met name zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Indien de betrokkene bezwaar maakt tegen de verwerking ten behoeve van direct marketing, mogen de persoonsgegevens niet meer voor deze doelen worden verwerkt. Bovendien moet dit recht ten laatste op het moment van het eerste contact tussen de verwerkingsverantwoordelijke en de betrokkene uitdrukkelijk en duidelijk onder de aandacht van de betrokkene worden gebracht.

Voorts omvat het standpunt van de Raad in eerste lezing een verwijzing naar online "volg-me-niet"-functies: bepaald wordt dat de betrokkene in het kader van het gebruik van diensten van de informatiemaatschappij zijn recht van bezwaar kan uitoefenen via geautomatiseerde procedés waarbij gebruik wordt gemaakt van technische specificaties.

4.9.   Geautomatiseerde individuele besluitvorming, waaronder profilering

De betrokkene heeft het recht niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit waarbij hem betreffende persoonlijke aspecten worden beoordeeld, en waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. Voorbeelden zijn de automatische weigering van een via internet ingediende kredietaanvraag of verwerking van sollicitaties via het internet zonder enige menselijke tussenkomst. Een dergelijke geautomatiseerde verwerking kan b.v. profilering zijn. Dit recht niet te worden onderworpen aan geautomatiseerde verwerking geldt evenwel niet wanneer dat:

—	nodig is voor het sluiten of uitvoeren van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke;

—

is toegestaan bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is, en waarin ook passende maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, zoals het monitoren van fraude en belastingontduiking; of

—	berust op de uitdrukkelijke toestemming van de betrokkene.

—

Behalve in het tweede geval, dat verband houdt met bij Unierecht of lidstatelijk recht toegestane gegevensverwerking, moet de verwerkingsverantwoordelijke die geautomatiseerde verwerkingen uitvoert, geschikte waarborgen implementeren met betrekking tot de rechten, vrijheden en gerechtvaardigde belangen van betrokkenen. Deze waarborgen moeten ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke omvatten, en de mogelijkheid voor de betrokkene om zijn standpunt kenbaar te maken en het besluit aan te vechten. Bovendien moeten verwerkingsverantwoordelijken, teneinde een behoorlijke en transparante verwerking te garanderen, voor de profilering passende wiskundige en statistische procedures hanteren en maatregelen treffen die de potentiële risico's voor de belangen van de betrokkenen minimaliseren.

De positie van de betrokkene wordt voorts versterkt omdat de verwerkingsverantwoordelijke, wanneer dat nodig is voor een behoorlijke en transparante verwerking, verplicht wordt de betrokkene informatie te verstrekken over het bestaan van geautomatiseerde besluitvorming, waaronder profilering en, ten minste in die gevallen, nuttige informatie te geven over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Tot slot zijn geautomatiseerde besluitvorming en profilering op basis van bijzondere categorieën van persoonsgegevens uitsluitend toegestaan onder bepaalde voorwaarden. Zo moet de betrokkene het recht hebben bezwaar te maken tegen dergelijke verwerking indien de persoonsgegevens verder worden verwerkt met het oog op wetenschappelijk of historisch onderzoek of statistische doelen, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.

Het Europees Comité voor gegevensbescherming kan richtsnoeren, aanbevelingen en beste praktijken formuleren om de criteria en de voorwaarden voor besluiten op basis van profilering nader af te bakenen.

5.    Verwerkingsverantwoordelijke en verwerker

5.1.   Inleiding

Het standpunt van de Raad in eerste lezing behelst het rechtskader voor de verantwoordelijkheid en de aansprakelijkheid voor de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke of, ten behoeve van die laatste, door een verwerker. Overeenkomstig het verantwoordingsbeginsel is de verwerkingsverantwoordelijke verplicht passende technische en organisatorische maatregelen te treffen en moet hij in staat zijn aan te tonen dat zijn verwerkingen stroken met de verordening. Tegen deze achtergrond zijn in de verordening regels opgenomen met betrekking tot de verantwoordelijkheden van de verwerkingsverantwoordelijke inzake effectbeoordelingen, het houden van een register van verwerkingsactiviteiten, inbreuken in verband met persoonsgegevens, de aanwijzing van een functionaris voor gegevensbescherming, en gedragscodes en certificeringsmechanismen.

5.2.   Effectbeoordelingen

De verwerkingsverantwoordelijke is verantwoordelijk voor de uitvoering van een gegevensverwerkingseffectbeoordeling om na te gaan wanneer de verwerking waarschijnlijk een hoog risico met zich zal meebrengen voor de rechten en vrijheden van natuurlijke personen. Het standpunt van de Raad in eerste lezing geeft aan in welke gevallen er bijzondere behoefte is aan een gegevensverwerkingseffectbeoordeling, zoals bij bepaalde grootschalige verwerkingen. Wanneer die effectbeoordeling uitwijst dat een verwerking grote risico's inhoudt die de verwerkingsverantwoordelijke niet kan beperken met passende maatregelen die gelet op de beschikbare technologie en de uitvoeringskosten redelijk zijn, moet vóór de verwerking een raadpleging van de toezichthoudende autoriteit plaatsvinden. De toezichthoudende autoriteit kan vervolgens advies verstrekken aan de verwerkingsverantwoordelijke en van haar bevoegdheden gebruikmaken.

Het Europees Comité voor gegevensbescherming kan richtsnoeren formuleren voor verwerkingen die waarschijnlijk een hoog risico met zich zullen meebrengen voor de rechten en vrijheden van natuurlijke personen, en aangeven met welke maatregelen in dat geval kan worden volstaan om potentiële risico's aan te pakken.

5.3.   Register van de verwerkingsactiviteiten

Om controles achteraf door de toezichthoudende autoriteit mogelijk te maken, moet de verwerkingsverantwoordelijke of, in voorkomend geval, zijn vertegenwoordiger, of de verwerker, een register houden betreffende de verwerkingen waarvoor hij verantwoordelijk is, ook over inbreuken in verband met persoonsgegevens. Teneinde de administratieve lasten te verminderen geldt deze verplichting niet voor ondernemingen of organisaties met minder dan 250 werknemers, tenzij de verwerking die zij uitvoeren waarschijnlijk een risico voor de rechten en de vrijheden van de betrokkenen zal inhouden, de verwerking niet incidenteel is, of de verwerking gevoelige gegevens of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten betreft.

5.4.   Inbreuken in verband met persoonsgegevens

Een inbreuk in verband met persoonsgegevens kan resulteren in lichamelijk letsel en materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, of enig ander economisch of maatschappelijk nadeel voor betrokkenen. Het standpunt van de Raad in eerste lezing bepaalt dat verwerkingsverantwoordelijken inbreuken moeten melden aan toezichthoudende autoriteiten, tenzij de inbreuk in verband met persoonsgegevens waarschijnlijk geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Ook moeten zij aan de betrokkenen in kwestie de inbreuken meedelen die waarschijnlijk een groot risico inhouden. Dankzij deze melding zullen de toezichthoudende autoriteiten indien nodig kunnen ingrijpen. Dankzij de mededeling aan de betrokkene zal deze bovendien voorzorgsmaatregelen kunnen treffen.

Teneinde de administratieve last te verminderen, voorziet het standpunt van de Raad in eerste lezing in verschillende drempels voor meldingen aan de toezichthoudende autoriteit en mededelingen aan de betrokkene in kwestie, waarbij de drempel voor de mededeling aan de betrokkene hoger ligt dan die voor de melding. Zodra zij weten dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, zijn verwerkingsverantwoordelijken verplicht dat zonder onredelijke vertraging en, indien mogelijk, uiterlijk binnen72 uur aan de bevoegde toezichthoudende autoriteit te melden. Verwerkingsverantwoordelijken mogen echter van de melding afzien indien zij kunnen aantonen dat de inbreuk in verband met persoonsgegevens waarschijnlijk geen risico voor de rechten en vrijheden van natuurlijke personen met zich zal meebrengen. Behoudens enkele uitzonderingen zijn verwerkingsverantwoordelijken verplicht de inbreuk in verband met persoonsgegevens zonder onredelijke vertraging aan de betrokkenen in kwestie te melden, indien de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van die betrokkenen met zich zal meebrengen.

Het Europees Comité voor gegevensbescherming kan richtsnoeren, aanbevelingen en beste praktijken formuleren voor het vaststellen van de inbreuken in verband met persoonsgegevens en het bepalen van de onredelijke vertraging nadat de verwerkingsverantwoordelijke weet heeft gekregen van de inbreuk, en voor de bijzondere omstandigheden waarin de verwerkingsverantwoordelijke de inbreuk moet melden, alsmede de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich zal meebrengen.

5.5.   Functionaris voor gegevensbescherming

De aanwijzing van een functionaris voor gegevensbescherming heeft tot doel de naleving van de verordening te verbeteren. De functionaris voor gegevensbescherming moet daarom een deskundige zijn inzake de wetgeving en de praktijken in verband met gegevensbescherming, en moet de verwerkingsverantwoordelijke of de verwerker helpen toezien op de interne naleving van deze verordening. Hij kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten. Er kan ook een functionaris voor gegevensbescherming worden aangewezen voor een concern of indien de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie is. Het standpunt van de Raad in eerste lezing voorziet in de verplichte aanwijzing van een functionaris voor gegevensbescherming wanneer:

—	de verwerking wordt uitgevoerd door een overheidsinstantie, behalve in het geval van gerechten of onafhankelijke rechterlijke instanties bij de uitoefening van hun rechtsbevoegdheid;

—	de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of

—	de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerking op grote schaal van gevoelige gegevens en van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

5.6.   Gedragscodes en certificeringsmechanismen

Het standpunt van de Raad in eerste lezing moedigt de toepassing van gedragscodes aan, en propageert het breder gebruik van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en -merktekens. Deze initiatieven dragen bij tot de naleving van de gegevensbeschermingsregels, maar voorkomen tegelijkertijd te prescriptieve regels en drukken de kosten voor de overheidsinstanties die voor de handhaving verantwoordelijk zijn. Bovendien kan in gedragscodes rekening worden gehouden met specifieke kenmerken van verwerking in bepaalde sectoren, en met de behoeften van n kleine, middelgrote en micro-ondernemingen. Certificeringsmechanismen en gegevensbeschermingszegels en -merktekens dragen hunnerzijds bij tot de naleving van de verordening, aangezien de betrokkenen op die manier gemakkelijk het niveau van gegevensbescherming van de betreffende producten en diensten kunnen nagaan.

Het standpunt van de Raad in eerste lezing omvat een uitgebreide reeks regels inzake gedragscodes en certificeringsmechanismen, gegevensbeschermingszegels en -merktekens die ruimte laten voor particuliere initiatieven, maar tegelijk de gegevensbeschermingsnormen beschermen dankzij de betrokkenheid van toezichthoudende autoriteiten.

5.6.1.   Gedragscodes

De toezichthoudende autoriteit kan gedragscodes of wijzigingen of uitbreidingen daarvan goedkeuren. Indien de ontwerpgedragscode betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, moet de bevoegde toezichthoudende autoriteit, alvorens haar goedkeuring te geven, de ontwerpgedragscode of de wijzigingen of uitbreidingen daarvan voor advies indienen bij het Europees Comité voor gegevensbescherming.

De Commissie kan uitvoeringshandelingen vaststellen waarbij door de bevoegde toezichthoudende autoriteit goedgekeurde nieuwe gedragscodes en wijzigingen of uitbreidingen van bestaande gedragscodes binnen de Unie algemeen geldig worden verklaard.

Het Europees Comité voor gegevensbescherming moet het opstellen van gedragscodes aanmoedigen. Het moet tevens alle goedgekeurde gedragscodes en wijzigingen daarvan in een register verzamelen, en deze via de daartoe geëigende kanalen openbaar maken.

5.6.2.   Certificeringsmechanismen en gegevensbeschermingszegels en -merktekens

Volgens het standpunt van de Raad in eerste lezing moet elke lidstaat bepalen of de certificeringsorganen worden geaccrediteerd door de toezichthoudende autoriteit of door de nationale accrediteringsinstantie. Geaccrediteerde certificeringsorganen kunnen verwerkingsverantwoordelijken en verwerkers certificeren op basis van de criteria die zijn goedgekeurd door de bevoegde toezichthoudende autoriteit of, conform het coherentiemechanisme, door het Europees Comité voor gegevensbescherming. In dat laatste geval kunnen de door het Europees Comité voor gegevensbescherming goedgekeurde criteria leiden tot een gemeenschappelijke certificering: het Europees gegevensbeschermingszegel. Een certificering wordt aan een verwerkingsverantwoordelijke of een verwerker afgegeven voor maximaal 3 jaar, met mogelijkheid tot verlenging. Het certificeringsorgaan stelt de toezichthoudende autoriteit op de hoogte van de redenen voor het afgeven of het intrekken van het aangevraagde certificaat. De toezichthoudende autoriteit kan die certificering vervolgens afwijzen of ongeldig verklaren.

De Commissie is bevoegd om gedelegeerde handelingen vast te stellen tot nadere bepaling van de voorschriften waarmee rekening moet worden gehouden voor de certificeringsmechanismen voor gegevensbescherming. Het Europees Comité voor gegevensbescherming moet over deze voorschriften advies uitbrengen. De Commissie kan ook uitvoeringshandelingen vaststellen inzake technische normen voor certificeringsmechanismen en gegevensbeschermingszegels en -merktekens en mechanismen ter bevordering en erkenning van certificeringsmechanismen en gegevensbeschermingszegels en –merktekens.

Tot slot moet het Europees Comité voor gegevensbescherming het instellen van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en –merktekens stimuleren.

6.    Doorgifte van persoonsgegevens aan derde landen of internationale organisaties

6.1.   Inleiding

In de context van mondiaal handelsverkeer en een grensoverschrijdende digitale economie zijn de grensoverschrijdende stromen van persoonsgegevens naar en vanuit landen buiten de Unie en internationale organisaties van groot belang. Wanneer persoonsgegevens van EU-burgers buiten de Unie worden doorgegeven mag het door de Unie gewaarborgde beschermingsniveau niet worden ondermijnd.

Als algemene regel geldt dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie slechts mag plaatsvinden indien de verwerkingsverantwoordelijken en de verwerkers aan de regels van de verordening voldoen. Het standpunt van de Raad in eerste lezing houdt integraal rekening met de jurisprudentie van het Hof van de Europese Unie, waaronder het arrest van 6 oktober 2015 in zaak C-362/14. Het standpunt van de Raad behoudt de verschillende manieren om grensoverschrijdende doorgifte van persoonsgegevens mogelijk te maken, maar versterkt ook de garanties dat de rechten inzake gegevensbescherming worden geëerbiedigd. Die verschillende manieren om persoonsgegevens door te geven zijn: adequaatheidsbesluiten, passende waarborgen en afwijkingen.

Het standpunt van de Raad in eerste lezing verduidelijkt dat elk vonnis van een gerecht en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, alleen op enigerlei wijze mag worden erkend of afdwingbaar mag zijn indien zij gebaseerd is op een vigerende internationale overeenkomst tussen het verzoekende derde land en de Unie of een lidstaat. Bovendien stelt het standpunt van de Raad in eerste lezing uitdrukkelijk dat dergelijke internationale overeenkomsten geen afbreuk doen aan andere gronden voor grensoverschrijdende doorgifte uit hoofde van de verordening.

6.2.   Adequaatheidsbesluiten

Internationale doorgiften mogen plaatsvinden op grond van een adequaatheidsbesluit van de Commissie, die vaststelt dat het derde land, of een gebied of een of meer specifieke sectoren in dat derde land, dan wel de internationale organisatie in kwestie een beschermingsniveau waarborgt dat in feite overeenstemt met het niveau dat in de Unie wordt verzekerd. Op die manier wordt in heel de Unie rechtszekerheid en eenvormigheid verschaft.

De Commissie kan besluiten een adequaatheidsbesluit in te trekken, nadat zij het derde land of de internationale organisatie daarvan onder volledige opgave van haar beweegredenen in kennis heeft gesteld. De Commissie stelt adequaatheidsbesluiten en besluiten tot intrekking daarvan vast in de vorm van uitvoeringshandelingen. De uitvoeringshandelingen moeten voorzien in een mechanisme voor periodieke toetsing, minstens om de vier jaar. De Commissie moet toezicht houden op de ontwikkelingen in derde landen en internationale organisaties die de werking van de adequaatheidsbesluiten zouden kunnen beïnvloeden. Met het oog op het toezicht en het uitvoeren van de periodieke toetsingen dient de Commissie rekening te houden met de opvattingen en bevindingen van het Europees Parlement en de Raad, evenals met andere relevante instanties en bronnen. In de context van de evaluatie en de toetsing van de verordening moet de Commissie ook op gezette tijden verslag uitbrengen aan de Raad en het Europees Parlement. Tot slot moet het Europees Comité voor gegevensbescherming de Commissie advies verstrekken bij de beoordeling van de adequaatheid van het beschermingsniveau in een derde land of internationale organisatie, en om te beoordelen of een adequaat beschermingsniveau niet langer wordt gegarandeerd.

De besluiten die de Commissie op grond van artikel 25, lid 6, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht, totdat zij door een besluit van de Commissie worden gewijzigd, vervangen of ingetrokken. In dezelfde geest blijven toestemmingen die een lidstaat of toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG heeft verleend, en besluiten die de Commissie op grond van artikel 26, lid 4, van Richtlijn 95/46/EG heeft vastgesteld, geldig totdat zij, indien nodig, worden gewijzigd, vervangen of ingetrokken, respectievelijk door die toezichthoudende autoriteit of door een besluit van de Commissie. Het standpunt van de Raad in eerste lezing biedt rechtszekerheid door continuïteit te waarborgen.

6.3.   Passende waarborgen

Grensoverschrijdende doorgiften mogen, behalve middels adequaatheidsbesluiten, ook plaatsvinden wanneer de verwerkingsverantwoordelijke of de verwerker in passende waarborgen heeft voorzien om het gebrek aan gegevensbescherming in het derde land of de internationale organisatie te compenseren. Die waarborgen kunnen bestaan uit juridisch bindende en afdwingbare instrumenten tussen overheidsinstanties of -organen, bindende bedrijfsvoorschriften, door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming, door een toezichthoudende autoriteit vastgestelde standaardbepalingen inzake gegevensbescherming, of door een toezichthoudende autoriteit goedgekeurde contractuele bepalingen. Verwerkingsverantwoordelijken of verwerkers in een derde land kunnen ook in passende waarborgen voorzien voor doorgiften van persoonsgegevens aan derde landen of internationale organisaties. Daartoe kunnen zij bijvoorbeeld gebruikmaken van een goedgekeurde gedragscode die vergezeld gaat van bindende en afdwingbare toezeggingen om de passende waarborgen toe te passen via contractuele of andere juridisch bindende instrumenten, onder meer wat de rechten van de betrokkene betreft. Ook kunnen zij gebruikmaken van een door de bevoegde toezichthoudende autoriteit goedgekeurd certificeringsmechanisme dat vergezeld gaat van bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkene, toe te passen.

6.4.   Afwijkingen

Bij ontstentenis van een adequaatheidsbesluit of passende waarborgen mag een doorgifte of een reeks doorgiften van persoonsgegevens aan een derde land of een internationale organisatie alleen plaatsvinden op basis van de in de verordening limitatief opgesomde afwijkingen. Een van die afwijkingen betreft de gerechtvaardigde belangen van een verwerkingsverantwoordelijke, indien die belangen niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene. Teneinde voldoende waarborgen voor grensoverschrijdende doorgiften van persoonsgegevens te bieden, worden de gerechtvaardigde belangen van de verwerkingsverantwoordelijke strikt omschreven en kunnen zij alleen als laatste middel worden ingeroepen. Teneinde te zorgen voor een consequente toepassing van de verordening moet het Europees Comité voor gegevensbescherming bij gebreke van een adequaatheidsbesluit of passende waarborgen - op eigen initiatief of op verzoek van de Commissie - richtsnoeren, aanbevelingen en beste praktijken formuleren en evalueren om de criteria en de vereisten voor gegevensdoorgiften nader af te bakenen.

7.    Toezichthoudende autoriteiten

7.1.   Onafhankelijkheid

Om de fundamentele rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, en om het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken, moet elke lidstaat ervoor zorgen dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening op zijn grondgebied. Elke toezichthoudende autoriteit en haar leden moeten op volledig onafhankelijke en integere wijze handelen bij het uitvoeren van de taken en het uitoefenen van de bevoegdheden die hun zijn verleend.

Elke toezichthoudende autoriteit moet bijdragen tot de coherente toepassing van de verordening in de hele Unie. Daartoe moeten de toezichthoudende autoriteiten onderling en met het Europees Comité voor gegevensbescherming en de Commissie samenwerken. De coherente toepassing van deze verordening wordt verder gewaarborgd door het vastleggen van de competentie van toezichthoudende autoriteiten en door het omschrijven van de taken en de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen, goedkeuring te verlenen en adviezen te verstrekken, waarover de toezichthoudende autoriteiten minimaal moeten beschikken.

7.2.   Geheimhoudingsplicht

In het standpunt van de Raad in eerste lezing staan regels inzake de geheimhoudingsplicht voor de toezichthoudende autoriteiten en hun leden. Vooreerst moet, ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun taken of de uitoefening van hun bevoegdheden ter kennis is gekomen, voor het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit zowel tijdens hun ambtstermijn als daarna de geheimhoudingsplicht gelden, zulks overeenkomstig Unierecht of lidstatelijk recht. Daarnaast wordt bepaald dat deze geheimhoudingsplicht tijdens hun ambtstermijn met name moet gelden voor meldingen van inbreuken op deze verordening door natuurlijke personen. Voorts krijgt het Europees Comité voor gegevensbescherming de opdracht richtsnoeren, aanbevelingen en beste praktijken te formuleren voor het instellen van gemeenschappelijke procedures waarmee natuurlijke personen inbreuken op de verordening kunnen melden.

8.    Samenwerking en coherentie

8.1.   Europees Comité voor gegevensbescherming

Teneinde een correcte en coherente toepassing van de verordening te garanderen stelt het standpunt van de Raad in eerste lezing een Europees Comité voor gegevensbescherming in als orgaan van de Unie met rechtspersoonlijkheid. Het optreden van het Comité bestaat er met name in adviezen te geven, bindende besluiten vast te stellen in de context van de geschillenbeslechting tussen toezichthoudende autoriteiten, of met het oog op een coherente handhaving van de verordening richtsnoeren te formuleren over elk vraagstuk in verband met de toepassing ervan.

Het Europees Comité voor gegevensbescherming bestaat uit de voorzitter van één toezichthoudende autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming, of hun respectieve vertegenwoordigers. De Commissie heeft het recht deel te nemen aan de activiteiten en, zonder stemrecht, aan de bijeenkomsten van het Europees Comité voor gegevensbescherming. De besprekingen van het Europees Comité voor gegevensbescherming zijn vertrouwelijk indien het Comité dit noodzakelijk acht, in overeenstemming met zijn reglement van orde.

Wanneer het Europees Comité voor gegevensbescherming in de context van geschillenbeslechting een bindend besluit vaststelt, heeft de Europese Toezichthouder voor gegevensbescherming uitsluitend stemrecht ten aanzien van besluiten met betrekking tot voor de instellingen, organen en instanties van de Unie geldende beginselen en regels die inhoudelijk met die van de verordening overeenstemmen.

8.2.   Coherentiemechanisme

In gevallen van grensoverschrijdende verwerking van persoonsgegevens waarbij meer dan een toezichthoudende autoriteit is betrokken, zorgt het coherentiemechanisme ervoor dat een enkel besluit wordt genomen dat in de hele Europese Unie van toepassing is, met inachtneming van het advies van de verschillende betrokken toezichthoudende autoriteiten. Het coherentiemechanisme vergroot derhalve de "nabijheid" tussen betrokkenen en de besluitvormende toezichthoudende autoriteit door de "lokale" toezichthoudende autoriteiten bij het besluitvormingsproces te betrekken. Bovendien is het onlangs ingestelde Europees Comité voor gegevensbescherming bevoegd bindende besluiten te nemen bij geschillen tussen toezichthoudende autoriteiten van verschillende lidstaten.

De regels van het coherentiemechanisme gelden niet wanneer de verwerking door overheidsinstanties of privaatrechtelijke organen in het algemeen belang wordt verricht. In die gevallen is alleen de toezichthoudende autoriteit van de lidstaat waar de overheidsinstantie of het privaatrechtelijk orgaan is gevestigd, bevoegd.

Het standpunt van de Raad in eerste lezing voorziet erin dat in het kader van de evaluatie van de verordening door de Commissie, de toepassing van de samenwerking en het coherentiemechanisme zullen worden bezien.

9.    Beroep, aansprakelijkheid en sancties

Het standpunt van de Raad in eerste lezing bevat een uitgebreide reeks regels waarmee betrokkenen op verschillende manieren beroep kunnen instellen, waaronder de mogelijkheid om in geval van schade als gevolg van een inbreuk op de verordening een schadevergoeding te vorderen.

9.1.   Het recht om een klacht in te dienen en het recht op een voorziening in rechte

Het standpunt van de Raad in eerste lezing bepaalt dat iedere betrokkene het recht heeft bij een toezichthoudende autoriteit een klacht in te dienen indien hij meent dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening. Bovendien heeft elke betrokkene het recht op een doeltreffende voorziening in rechte tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit. Hij heeft tevens het recht op een doeltreffende voorziening in rechte ingeval de toezichthoudende autoriteit de klacht niet behandelt of geen informatie verstrekt over de voortgang of het resultaat van de klacht.

Daarnaast heeft iedere betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij meent dat zijn rechten uit hoofde van deze verordening geschonden zijn als gevolg van een verwerking van zijn persoonsgegevens die niet aan de verordening voldoet.

Nabijheid tussen de betrokkene en de nationale gerechten wordt gewaarborgd door het recht van betrokkenen om het besluit van hun gegevensbeschermingsautoriteit door een nationaal gerecht te laten toetsen, ongeacht in welke lidstaat de verwerkingsverantwoordelijke of de verwerker is gevestigd. Een procedure tegen een verwerkingsverantwoordelijke of een verwerker moet worden ingesteld bij de gerechten van de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft. Een dergelijke procedure kan ook worden ingesteld bij de gerechten van de lidstaat waar de betrokkene gewoonlijk verblijft, tenzij de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie van een lidstaat is die optreedt in de uitoefening van het overheidsgezag.

Tenslotte heeft iedere natuurlijke persoon of rechtspersoon het recht om voor het Hof van Justitie van de Europese Unie een beroep tot nietigverklaring in te stellen tegen een besluit van het Europees Comité voor gegevensbescherming, onder de in artikel 263 VWEU genoemde voorwaarden.

9.2.   Vertegenwoordiging van betrokkenen

Een betrokkene heeft het recht organen, organisaties of verenigingen die beantwoorden aan specifieke criteria - zo dienen zij onder meer op non-profitbasis actief te zijn in de gegevensbeschermingssector - te machtigen om namens hem een klacht in te dienen en het recht op het instellen van een voorziening in rechte en het recht op schadevergoeding uit te oefenen, indien daarin in het lidstatelijk recht is voorzien. Deze specifieke criteria moeten voorkomen dat op het gebied van gegevensbescherming een commerciële claimcultuur ontstaat. Daarnaast kunnen de lidstaten bepalen dat dit orgaan, deze organisatie of vereniging over het recht beschikt om - los van de opdracht van een betrokkene - in die lidstaat een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, en het recht op een voorziening in rechte uit te oefenen, indien die organisatie van mening is dat de rechten van een betrokkene zijn geschonden als gevolg van een verwerking van persoonsgegevens die inbreuk maakt op de verordening.

9.3.   Schorsing van de procedure

Om te voorkomen dat dezelfde aangelegenheid inzake een door dezelfde verwerkingsverantwoordelijke of verwerker uitgevoerde verwerking door verschillende gerechten worden behandeld, kan ieder bevoegd gerecht dat niet als eerste is aangezocht de procedure schorsen of, op verzoek van een der partijen, tot verwijzing overgaan.

9.4.   Recht op schadevergoeding en aansprakelijkheid

Het standpunt van de Raad in eerste lezing bepaalt dat iedere betrokkene die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op deze verordening, recht heeft op een schadevergoeding van de verwerkingsverantwoordelijke of de verwerker. De aansprakelijkheid van de verwerkingsverantwoordelijken en verwerkers wordt in de verordening nader omschreven om hun rechtszekerheid te bieden, en ervoor te zorgen dat betrokkenen de mogelijkheid hebben in geval van schade een schadevergoeding te vorderen. Iedere bij de verwerking betrokken verwerkingsverantwoordelijke is aansprakelijk voor de schade die erdoor is aangericht. Een verwerker is slechts aansprakelijk wanneer hij niet heeft voldaan aan de verplichtingen in de verordening die specifiek op verwerkers zijn gericht of wanneer hij buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke heeft gehandeld. Een verwerkingsverantwoordelijke of verwerker is echter van aansprakelijkheid vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schade veroorzakende feit.

Indien meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, en zij verantwoordelijk zijn voor schade die door de verwerking is veroorzaakt, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gesteld, teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed. Indien een verwerkingsverantwoordelijke of verwerker de schade echter geheel heeft vergoed, kan deze verwerkingsverantwoordelijke of verwerker op andere bij de verwerking betrokken verwerkingsverantwoordelijken of verwerkers het deel van de schadevergoeding verhalen dat overeenkomt met hun deel van de aansprakelijkheid voor de schade.

9.5.   Sancties

Om de naleving van de verordening te waarborgen, bepaalt het standpunt van de Raad in eerste lezing dat toezichthoudende autoriteiten administratieve geldboeten kunnen opleggen. Deze boeten moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten kunnen regels vaststellen betreffende de vraag of en in welke mate administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en -organen. Naast het opleggen van administratieve geldboeten kunnen toezichthoudende autoriteiten ook gebruik maken van andere bevoegdheden tot het nemen van corrigerende maatregelen zoals waarschuwingen en berispingen. Om harmonisatie te bevorderen moet het Europees Comité voor gegevensbescherming voor toezichthoudende autoriteiten richtsnoeren opstellen betreffende de toepassing van de corrigerende bevoegdheden van de toezichthoudende autoriteit en betreffende de vaststelling van administratieve geldboeten.

Het standpunt van de Raad in eerste lezing bevat voor de toezichthoudende autoriteiten een lijst van criteria voor het besluit tot oplegging van een administratieve geldboete en, in voorkomend geval, ter bepaling van het bedrag van de geldboete. Deze criteria hebben onder meer betrekking op de aard, de ernst, de duur en het al dan niet opzettelijke karakter van de inbreuk op de verordening. De verordening bevat een opsomming van de inbreuken en de ermee overeenstemmende maximale administratieve geldboeten. De toezichthoudende autoriteit moet met inachtneming van deze maximale administratieve geldboeten en afhankelijk van de omstandigheden van elke afzonderlijke inbreuk, de gepaste hoogte van de boete bepalen. Om de verwerkingsverantwoordelijken en verwerkers rechtszekerheid te bieden en om de harmonisatie van administratieve boeten in de Unie te bevorderen met behoud van een beoordelingsmarge voor de toezichthoudende autoriteiten, zijn deze inbreuken in drie categorieën onderverdeeld. Inbreuken uit de eerste categorie - betreffende de verplichtingen van verwerkingsverantwoordelijken en verwerkers - kunnen leiden tot een boete van maximaal 10 000 000 EUR of, in het geval van een onderneming, van maximaal 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. In de tweede categorie - waaronder inbreuken op de rechten van de betrokkenen en op de algemene beginselen vallen - geldt een plafond van 20 000 000 EUR of 4% van de jaaromzet. De derde categorie van inbreuken betreft niet-naleving van een bevel van de toezichthoudende autoriteit en kent ook een maximale boete van 20 000 000 EUR of 4% van de jaaromzet.

10.    Specifieke situaties inzake gegevensverwerking

10.1.   Verwerking van persoonsgegevens en recht op vrijheid van meningsuiting en informatie

De lidstaten moeten het recht op bescherming van persoonsgegevens overeenkomstig deze verordening wettelijk in overeenstemming brengen met het recht op vrijheid van meningsuiting en van informatie, daaronder begrepen de verwerking van persoonsgegevens voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. Ter wille van de transparantie met betrekking tot het in overeenstemming brengen van deze rechten is iedere lidstaat verplicht de Commissie de desbetreffende wetgevingsbepalingen mee te delen, alsmede de wijzigingen van die bepalingen en nieuwe bepalingen ter zake.

10.2.   Verwerking in het kader van de arbeidsverhouding

Bij wet of bij collectieve overeenkomst kunnen de lidstaten specifiekere regels vaststellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding.

Die regels moeten passende en specifieke maatregelen omvatten ter waarborging van de menselijke waardigheid, de gerechtvaardigde belangen en de grondrechten van de betrokkene. Iedere lidstaat is verplicht de Commissie de relevante wetsbepalingen mee te delen, alsmede de wijzigingen van die bepalingen en nieuwe bepalingen ter zake.

10.3.   Waarborgen en afwijkingen voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

Het standpunt van de Raad in eerste lezing behelst specifieke regels voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Deze regels zijn gericht op het in overeenstemming brengen van het belang van de beschikbaarheid van persoonsgegevens met het oog op archivering, onderzoek en statistische doeleinden enerzijds, en de rechten inzake gegevensbescherming anderzijds.

Voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden moeten passende waarborgen gelden voor de rechten en vrijheden van de betrokkenen overeenkomstig deze verordening. Voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden mogen de lidstaten onder specifieke voorwaarden en met passende waarborgen voor de betrokkenen voorzien in specificaties en afwijkingen met betrekking tot de informatieplicht, het recht op rectificatie, wissing, vergetelheid, beperking van verwerking en gegevensoverdraagbaarheid en het recht van bezwaar.

Het standpunt van de Raad in eerste lezing staat ook een afwijking toe op het verbod op het verwerken van gevoelige persoonsgegevens in het geval van verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Die afwijking is toegestaan wanneer de betreffende verwerking plaatsvindt op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op gegevensbescherming wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.

11.    Vooraf gesloten overeenkomsten

Het standpunt van de Raad in eerste lezing verduidelijkt dat internationale overeenkomsten betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties die door de lidstaten vóór de inwerkingtreding van deze verordening zijn gesloten, en die in overeenstemming zijn met het vóór de inwerkingtreding van deze verordening toepasselijke Unierecht, van kracht blijven totdat zij worden gewijzigd, vervangen of ingetrokken. Dit zorgt voor rechtszekerheid voor verwerkingsverantwoordelijken en voorkomt onnodige administratieve lasten voor de lidstaten. Het houdt tevens rekening met het feit dat de lidstaten bij het wijzigen van bestaande overeenkomsten afhankelijk zijn van de medewerking van het derde land of de internationale organisatie.

IV.   CONCLUSIE

Het standpunt van de Raad in eerste lezing weerspiegelt het compromis dat is bereikt tijdens de informele onderhandelingen tussen de Raad en het Europees Parlement, die door de Commissie werden gefaciliteerd. De Raad verzoekt het Europees Parlement het standpunt van de Raad in eerste lezing formeel en ongeamendeerd goed te keuren, teneinde het nieuwe wetgevingskader van de EU op het gebied van gegevensbescherming te kunnen vaststellen en aldus de gegevensbeschermingsrechten te versterken en tegelijkertijd het vrije verkeer van persoonsgegevens binnen de digitale markt te bevorderen.

---