Europese Privacyrichtlijn (95/46/EG)
Publicatieblad Nr. L 281 van 23/11/1995 blz. 0031 – 0050
RICHTLIJN 95/46/EG VAN HET EUROPEES PARLEMENT EN DE RAAD
van 24 oktober 1995
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, inzonderheid op artikel 100 A,
Gezien het voorstel van de Commissie (1),
Gezien het advies van het Economisch en Sociaal Comité (2),
Overeenkomstig de procedure van artikel 189 B van het Verdrag (3),
(1) Overwegende dat de doelstellingen van de Gemeenschap, vermeld in het Verdrag zoals gewijzigd door het Verdrag betreffende de Europese Unie, erin bestaan een steeds hechtere unie tussen de Europese volkeren en nauwere betrekkingen tussen de in de Gemeenschap verenigde Staten tot stand te brengen, door gemeenschappelijk optreden de economische en sociale vooruitgang te verzekeren en daartoe de barrières die Europa verdelen te verwijderen, een voortdurende verbetering van de levensomstandigheden van deze volkeren te bevorderen, de waarborgen voor vrede en vrijheid te versterken en de democratie te bevorderen, uitgaande van de fundamentele rechten die in de grondwetten en de wetten van de Lid-Staten alsmede in het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden zijn erkend;
(2) Overwegende dat de systemen voor de verwerking van gegevens ten dienste van de mens staan; dat zij de fundamentele rechten en vrijheden en inzonderheid de persoonlijke levenssfeer van natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, moeten eerbiedigen en tot de economische en sociale vooruitgang, tot de ontwikkeling van het handelsverkeer en tot het welzijn van de individuen moeten bijdragen;
(3) Overwegende dat er voor de totstandbrenging en de werking van de interne markt, waarin volgens artikel 7 A van het Verdrag het vrije verkeer van goederen, personen, diensten en kapitaal is gewaarborgd, niet alleen verkeer van persoonsgegevens van de ene Lid-Staat naar de andere mogelijk moet zijn, maar dat ook de fundamentele rechten van personen moeten worden beschermd;
(4) Overwegende dat in de Gemeenschap op diverse terreinen van het economische en sociale leven steeds vaker van verwerking van persoonsgegevens gebruik wordt gemaakt; dat de vorderingen van de informatietechnologieën de verwerking en de uitwisseling van deze gegevens aanzienlijk vergemakkelijken;
(5) Overwegende dat de economische en sociale integratie die het gevolg is van de totstandbrenging en de werking van de interne markt in de zin van artikel 7 A van het Verdrag, noodzakelijkerwijs een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens tussen alle, zowel particuliere als openbare, deelnemers aan het economische en sociale leven van de Lid-Staten met zich brengt; dat er tussen ondernemingen die in verschillende Lid-Staten zijn gevestigd steeds meer persoonsgegevens zullen worden uitgewisseld; dat de nationale overheden van de Lid-Staten krachtens het Gemeenschapsrecht tot samenwerking en tot onderlinge uitwisseling van persoonsgegevens worden genoopt, teneinde in het kader van de ruimte zonder binnengrenzen die door de interne markt wordt gevormd hun opdracht te kunnen vervullen of ten behoeve van de overheid in een andere Lid-Staat taken te kunnen verrichten;
(6) Overwegende bovendien dat de intensivering van de technische en wetenschappelijke samenwerking en de gecooerdineerde totstandbrenging van nieuwe telecommunicatienetwerken in de Gemeenschap het grensoverschrijdend verkeer van persoonsgegevens noodzakelijk maken en vergemakkelijken;
(7) Overwegende dat verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, op het stuk van de verwerking van persoonsgegevens in de Lid-Staten is gewaarborgd, het doorzenden van die gegevens van het grondgebied van de ene Lid-Staat naar dat van een andere kunnen beletten; dat deze verschillen bijgevolg een belemmering kunnen vormen voor de uitoefening van een reeks economische activiteiten op communautaire schaal, de mededinging kunnen vervalsen en de overheid kunnen beletten haar taak ten aanzien van de toepassing van het Gemeenschapsrecht te vervullen; dat deze verschillen in beschermingsniveau het gevolg zijn van divergenties tussen de nationale wettelijke en bestuursrechtelijke bepalingen;
(8) Overwegende dat, teneinde de belemmeringen voor het verkeer van persoonsgegevens op te heffen, het niveau van de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van deze gegevens in alle Lid-Staten gelijkwaardig moet zijn; dat dit doel, dat voor de interne markt van fundamenteel belang is, niet kan worden bereikt door een optreden van de Lid-Staten alleen, gezien met name de omvang van de bestaande divergenties tussen de geldende nationale wettelijke regelingen ter zake en de noodzaak om de wetgevingen van de Lid-Staten op elkaar af te stemmen teneinde voor de grensoverschrijdende stromen van persoonsgegevens tot een samenhangende reglementering te komen die in overeenstemming is met de doelstelling van de interne markt in de zin van artikel 7 A van het Verdrag; dat een optreden van de Gemeenschap in de vorm van een onderlinge aanpassing van de wetgevingen derhalve noodzakelijk is;
(9) Overwegende dat de Lid-Staten, wegens de gelijkwaardige bescherming die voortvloeit uit de onderlinge aanpassing van de nationale wetgevingen, het vrije verkeer van persoonsgegevens tussen de Lid-Staten niet langer mogen belemmeren om redenen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen, met name het recht op persoonlijke levenssfeer; dat aan de Lid-Staten een zekere vrijheid wordt gelaten die binnen het kader van de tenuitvoerlegging van de richtlijn kan worden gebruikt door de economische en sociale partners; dat zij derhalve in hun nationale recht kunnen bepalen onder welke algemene voorwaarden de verwerkingen rechtmatig zijn; dat de Lid-Staten er daarbij naar dienen te streven de momenteel door hun wetgeving geboden bescherming te verbeteren; dat zich binnen de grenzen van deze vrijheid, overeenkomstig het Gemeenschapsrecht, ongelijkheden kunnen voordoen bij de tenuitvoerlegging van de richtlijn hetgeen gevolgen kan hebben voor het gegevensverkeer binnen een Lid-Staat en in de Gemeenschap;
(10) Overwegende dat met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de algemene beginselen van het Gemeenschapsrecht is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen;
(11) Overwegende dat de in deze richtlijn vervatte beginselen met betrekking tot de bescherming van de rechten en de vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, de beginselen van het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ter zake van de geautomatiseerde verwerking van persoonsgegevens verduidelijken en versterken;
(12) Overwegende dat de beginselen inzake bescherming moeten gelden voor alle verwerkingen van persoonsgegevens zodra de werkzaamheden van de voor de verwerking verantwoordelijke binnen de werkingssfeer van het Gemeenschapsrecht vallen; dat dit niet geldt voor de verwerking van gegevens door een natuurlijke persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden, bij voorbeeld correspondentie en het bijhouden van adressenbestanden;
(13) Overwegende dat de in de titels V en VI van het Verdrag betreffende de Europese Unie bedoelde activiteiten met betrekking tot openbare veiligheid, defensie, staatsveiligheid en de activiteiten van de Staat op strafrechtelijk gebied niet onder de toepassingssfeer van het Gemeenschapsrecht vallen, onverminderd de verplichtingen die de Lid-Staten hebben uit hoofde van de artikelen 56, lid 2, 57 en 100 A van het Verdrag; dat de voor de economie van een Staat noodzakelijke verwerking van persoonsgegevens, niet onder deze richtlijn valt indien deze verwerking verband houdt met de Staatsveiligheid;
(14) Overwegende dat, gezien het belang van de in het kader van de informatiemaatschappij aan de gang zijnde ontwikkelingen inzake de technieken voor het opvangen, doorsturen, manipuleren, registreren, bewaren of mededelen van geluid- en beeldgegevens betreffende natuurlijke personen, deze richtlijn ook van toepassing zal moeten zijn op verwerkingen die op deze gegevens betrekking hebben;
(15) Overwegende dat verwerkingen die op dergelijke gegevens betrekking hebben slechts onder deze richtlijn vallen als zij geautomatiseerd zijn of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria teneinde een gemakkelijke toegang tot de betrokken persoonsgegevens mogelijk te maken;
(16) Overwegende dat verwerkingen van geluid- en beeldgegevens, zoals gegevens van videobewaking, niet binnen de werkingssfeer van deze richtlijn vallen als deze verwerkingen plaatsvinden met het oog op de openbare veiligheid, de defensie, de veiligheid van de Staat en de activiteiten van de Staat op strafrechtelijk gebied of met het oog op de uitoefening van andere activiteiten die niet onder het Gemeenschapsrecht vallen;
(17) Overwegende dat wat betreft verwerkingen van geluid- en beeldgegevens voor journalistieke, literaire of artistieke doeleinden, met name in de audiovisuele sector, de beginselen van de richtlijn, met een aantal beperkingen overeenkomstig artikel 9 van toepassing zijn;
(18) Overwegende dat om te voorkomen dat een persoon wordt uitgesloten van de bescherming waarop hij krachtens deze richtlijn recht heeft, alle verwerkingen van persoonsgegevens in de Gemeenschap moeten worden uitgevoerd overeenkomstig de wetgeving van een van de Lid-Staten; dat in dit verband de verwerking die wordt uitgevoerd door een persoon namens een voor de verwerking verantwoordelijke die in een Lid-Staat is gevestigd, door het recht van die Staat dient te worden geregeld;
(19) Overwegende dat de vestiging op het grondgebied van een Lid-Staat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt; dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is; dat, wanneer een en dezelfde voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene Lid-Staten, met name door middel van een dochteronderneming, hij dient te waarborgen, in het bijzonder om elke vorm van wetsontduiking te voorkomen, dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt;
(20) Overwegende dat de vestiging in een derde land van de voor de verwerking verantwoordelijke de bescherming van personen waarin de onderhavige richtlijn voorziet, niet in de weg mag staan; dat in dit geval de verwerking moet worden geregeld door het recht van de Lid-Staat waarin de gebruikte middelen zich bevinden, en dat gewaarborgd moet worden dat de rechten en verplichtingen waarin de onderhavige richtlijn voorziet, in de praktijk worden geëerbiedigd;
(21) Overwegende dat deze richtlijn de territorialiteitsregels inzake strafrecht onverlet laat;
(22) Overwegende dat de Lid-Staten in hun wetgeving of bij de toepassing van de ter uitvoering van deze richtlijn vastgestelde bepalingen de algemene voorwaarden aangeven waaronder de verwerkingen rechtmatig zijn; dat met name artikel 5, in samenhang met de artikelen 7 en 8, de Lid-Staten toestaat om behalve in algemene voorschriften, in bijzondere voorwaarden te voorzien voor de verwerking van gegevens in specifieke sectoren en voor de specifieke gegevenscategorieën als bedoeld in artikel 8;
(23) Overwegende dat de Lid-Staten de uitvoering van de bescherming van personen kunnen waarborgen ofwel door een algemene wet betreffende de bescherming van personen tegen de verwerking van persoonsgegevens ofwel door wetten voor bepaalde sectoren, zoals bij voorbeeld die inzake de bureaus voor de statistiek;
(24) Overwegende dat deze richtlijn niet van invloed is op regelingen inzake de bescherming van rechtspersonen in verband met de verwerking van persoonsgegevens die op hen betrekking hebben;
(25) Overwegende dat de beginselen van de bescherming enerzijds tot uiting moeten komen in de verplichtingen die aan de personen, overheidsinstanties, ondernemingen of andere lichamen die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens, de technische beveiliging, de aanmelding bij de toezichthoudende autoriteit en de omstandigheden waarin de verwerking kan worden uitgevoerd, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten;
(26) Overwegende dat de beschermingsbeginselen moeten gelden voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon; dat, om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren; dat de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is; dat de gedragscodes in de zin van artikel 27 een nuttig instrument kunnen zijn om een indicatie te geven omtrent de middelen waarmee de gegevens anoniem kunnen worden gemaakt en kunnen worden bewaard in een vorm die identificatie van de betrokkene niet langer mogelijk maakt;
(27) Overwegende dat de bescherming van personen zowel op automatische als op niet-automatische verwerking van toepassing is; dat de reikwijdte van deze bescherming in feite niet afhankelijk mag zijn van de gebruikte technieken, omdat zulks ernstig gevaar voor ontduiking zou opleveren; dat niettemin wat de niet-automatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de richtlijn vallen; dat met name de inhoud van een bestand moet zijn gestructureerd volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken; dat overeenkomstig de definitie in artikel 2, onder c), de verschillende criteria waarmee de elementen van een gestructureerd geheel van persoonsgegevens en de verschillende criteria die de toegang tot dit geheel van gegevens regelen door de Lid-Staten zelf kunnen worden bepaald; dat dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn in geen geval onder de toepassingssfeer van de onderhavige richtlijn vallen;
(28) Overwegende dat elke verwerking van persoonsgegevens ten opzichte van de betrokkenen eerlijk en rechtmatig dient te geschieden; dat de verwerking met name adequate en ter zake dienende, gegevens moet betreffen die met de doeleinden stroken en dat deze doeleinden expliciet en geoorloofd moeten zijn en moeten zijn vastgesteld bij het verzamelen van de gegevens; dat de doelstellingen van latere verwerkingen niet onverenigbaar mogen zijn met de oorspronkelijk omschreven doelen;
(29) Overwegende dat de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden in het algemeen niet wordt beschouwd als onverenigbaar met de doeleinden waarvoor zij eerder werden verzameld, mits de Lid-Staten passende garanties bieden; dat deze garanties met name moeten voorkomen dat de gegevens worden gebruikt voor het nemen van maatregen of besluiten die tegen een bepaalde persoon gericht zijn;
(30) Overwegende dat de verwerking van persoonsgegevens bovendien slechts geoorloofd kan zijn, indien zij plaatsvindt met toestemming van de betrokkene, noodzakelijk is voor de sluiting of uitvoering van een overeenkomst die de betrokkene bindt of voor de eerbiediging van een wettelijke verplichting, voor de uitvoering van een taak van openbaar belang of de uitoefening van overheidsgezag, of ook voor de behartiging van een wettig belang van een persoon, mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren; dat de Lid-Staten, met name om het evenwicht tussen de in het geding zijnde belangen te verzekeren onder waarborging van een daadwerkelijke mededinging, de voorwaarden kunnen bepalen waaronder persoonsgegevens in het kader van wettige activiteiten zoals het dagelijks beheer van ondernemingen en andere organisaties kunnen worden gebruikt en aan derden verstrekt; dat zij evenzo de voorwaarden kunnen bepalen waaronder persoonsgegevens voor direct marketing of direct mail door een liefdadige instelling of door ander verenigingen of stichtingen, bij voorbeeld van politieke aard, aan derden mogen worden verstrekt, een en ander met inachtneming van de bepalingen waarbij aan de betrokkenen de mogelijkheid wordt geboden zich zonder opgave van redenen en zonder kosten tegen de verwerking van hen betreffende gegevens te verzetten;
(31) Overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is;
(32) Overwegende dat de Lid-Staten moeten vaststellen of de voor de verwerking verantwoordelijke die belast is met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag een openbaar bestuur of een andere publiekrechtelijke of privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn;
(33) Overwegende dat gegevens die wegens hun aard op de fundamentele vrijheden of op de persoonlijke levenssfeer inbreuk kunnen maken zonder uitdrukkelijke toestemming van de betrokkene niet het voorwerp van verwerking mogen zijn; dat evenwel uitdrukkelijk moet worden voorzien in afwijkingen van dit verbod om aan specifieke behoeften te voldoen, met name wanneer de gegevensverwerking wordt gebruikt voor gezondheidsdoeleinden door personen voor wie een beroepsgeheim geldt, of voor het uitvoeren van wettige activiteiten door bepaalde verenigingen of stichtingen, wier doelstelling het is de uitoefening van de fundamentele vrijheden mogelijk te maken;
(34) Overwegende dat de Lid-Staten tevens gemachtigd moeten worden om op grond van een zwaarwegend algemeen belang van het verbod tot verwerking van categorieën gevoelige gegevens af te wijken op gebieden als de volksgezondheid en de sociale bescherming – vooral voor wat betreft het waarborgen van kwaliteit en rentabiliteit, met betrekking tot de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering – het wetenschappelijk onderzoek en de overheidsstatistieken; dat het evenwel de taak van de Lid-Staten is om in passende, specifieke waarborgen te voorzien om de fundamentele rechten en de persoonlijke levenssfeer te beschermen;
(35) Overwegende, voorts, dat de verwerking van persoonsgegevens door overheidsinstanties ter verwezenlijking van in het constitutionele recht of in het volkenrecht vastgelegde doelstellingen ten behoeve van officieel erkende religieuze verenigingen geschiedt op grond van een zwaarwegend algemeen belang;
(36) Overwegende dat als het bij activiteiten in samenhang met verkiezingen voor de goede werking van de democratie vereist is dat politieke partijen gegevens over de politieke opvattingen van personen vergaren, de verwerking van zulke gegevens op grond van een zwaarwegend algemeen belang kan worden toegelaten, mits er passende garanties worden vastgesteld;
(37) Overwegende dat voor de verwerking van persoonsgegevens voor journalistieke, artistieke of literaire, en met name audiovisuele, doeleinden moet worden voorzien in uitzonderingen op of beperkingen van bepalingen van deze richtlijn, voor zover deze noodzakelijk zijn om de fundamentele rechten van de persoon te verzoenen met de vrijheid van meningsuiting, inzonderheid de vrijheid om inlichtingen te ontvangen of te verstrekken, zoals die met name bij artikel 10 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden wordt gewaarborgd; dat het derhalve de taak van de Lid-Staten is om in het kader van de afweging tussen fundamentele rechten de noodzakelijke uitzonderingen en beperkingen vast te stellen ten aanzien van de algemene maatregelen inzake de rechtmatigheid van de gegevensverwerking, de overdracht van gegevens naar derde landen alsmede de bevoegdheden van de controlerende instanties; dat zulks evenwel de Lid-Staten er niet toe mag bewegen te voorzien in uitzonderingen op de maatregelen om de beveiliging van de verwerking te garanderen; dat ten minste aan de op dit gebied bevoegde toezichthoudende instantie tevens bepaalde bevoegdheden a posteriori moeten worden verleend, zoals het op gezette tijden indienen van een verslag of het in rechte optreden;
(38) Overwegende dat eerlijke verwerking van gegevens veronderstelt dat de betrokkenen van het bestaan van de verwerkingen op de hoogte kunnen zijn en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen;
(39) Overwegende dat bepaalde verwerkingen betrekking hebben op gegevens die de verantwoordelijke niet rechtstreeks van de betrokkene heeft verkregen; dat gegevens voorts rechtmatig kunnen worden meegedeeld aan een derde, ook al was zulks ten tijde van het verkrijgen van de gegevens van de betrokkene niet voorzien; dat in al deze gevallen de informatie aan de betrokkene dient te worden verstrekt op het moment van de registratie van de gegevens of, uiterlijk, wanneer de gegevens voor de eerste maal aan een derde worden meegedeeld;
(40) Overwegende dat het evenwel niet noodzakelijk is deze verplichting op te leggen wanneer de betrokkene al op de hoogte is; dat deze verplichting evenmin geldt wanneer deze registratie of mededeling uitdrukkelijk bij de wet is voorgeschreven of wanneer verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost, wat het geval kan zijn bij verwerkingen voor historische, statistische of wetenschappelijke doeleinden; dat hierbij in aanmerking mag worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke compenserende maatregelen kunnen worden getroffen;
(41) Overwegende dat een ieder over het recht moet kunnen beschikken toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij zich van de juistheid en de rechtmatigheid van de verwerking ervan kan vergewissen; dat een ieder om dezelfde redenen ook het recht moet hebben de logica te kennen die aan de automatische verwerking van de hem betreffende gegevens ten grondslag ligt, in elk geval als het gaat om de in artikel 15, lid 1, bedoelde geautomatiseerde besluiten; dat dit recht geen afbreuk mag doen aan het zakengeheim of aan de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt; dat zulks er evenwel niet toe mag leiden dat de betrokkene alle informatie wordt geweigerd;
(42) Overwegende dat de Lid-Staten het recht van toegang en van informatie in het belang van de betrokkene of met het oog op de bescherming van andermans rechten en vrijheden mogen beperken; dat zij, bij voorbeeld, kunnen preciseren dat de toegang tot medische gegevens slechts kan worden verkregen door tussenkomst van een gezondheidswerker;
(43) Overwegende dat de Lid-Staten ook het recht van toegang en informatie alsmede bepaalde verplichtingen van de voor de verwerking verantwoordelijke mogen beperken voor zover zulks nodig is om bij voorbeeld de staatsveiligheid, de defensie, de openbare veiligheid, een zwaarwegend economisch of financieel belang van een Lid-Staat of van de Unie te vrijwaren en om strafbare feiten of schending van de beroepscode door een beoefenaar van een gereglementeerd beroep op te sporen en te vervolgen; dat wat de uitzonderingen en beperkingen betreft, de noodzakelijke taken op het gebied van controle, inspectie of regelgeving op de drie voornoemde gebieden met betrekking tot de openbare veiligheid, het economisch of financieel belang en de strafvervolging moeten worden opgesomd; dat deze opsomming van taken op die drie gebieden de rechtmatigheid van uitzonderingen en beperkingen om redenen van staatsveiligheid en defensie onverlet laten;
(44) Overwegende dat de Lid-Staten door het Gemeenschapsrecht gehouden kunnen zijn om van de bepalingen van deze richtlijn met betrekking tot het recht van toegang, de informatie van personen en de kwaliteit van de gegevens af te wijken teneinde een of meer van bovengenoemde doeleinden in acht te nemen;
(45) Overwegende dat wanneer gegevens het voorwerp kunnen uitmaken van een rechtmatige verwerking op grond van een algemeen belang, de uitoefening van het openbaar gezag of het rechtmatig belang van een persoon, iedere betrokkene evenwel het recht dient te hebben om zich op grond van zwaarwegende en gerechtvaardigde redenen die met zijn specifieke situatie verband houden tegen verwerking van hem betreffende gegevens te verzetten; dat de Lid-Staten evenwel de mogelijkheid hebben andersluidende nationale bepalingen vast te stellen;
(46) Overwegende dat de bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens zowel bij het ontwerpen als bij de uitvoering van de verwerking passende technische maatregelen vergt, in het bijzonder om de veiligheid te waarborgen en zodoende elke ongeoorloofde verwerking te verhinderen; dat de Lid-Staten erop moeten toezien dat de voor de verwerking verantwoordelijken aan deze maatregelen de hand houden; dat deze maatregelen een passend niveau van veiligheid moeten waarborgen, rekening houdend met de stand van de techniek en met de kosten van de tenuitvoerlegging gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich brengen;
(47) Overwegende dat, wanneer een bericht dat persoonsgegevens bevat, wordt verzonden via een telecommunicatie- of elektronische postdienst waarvan het enige doel is dit soort berichten door te geven, het de person is van wie het bericht uitgaat, en niet degene die de dienst aanbiedt, die normaliter zal worden beschouwd als verantwoordelijk voor de verwerking van de in het bericht vervatte persoonsgegevens; dat evenwel de personen die deze diensten aanbieden normaliter zullen worden beschouwd als verantwoordelijk voor de verwerking van de aanvullende persoonsgegevens die noodzakelijk zijn voor de werking van de dienst;
(48) Overwegende dat de aanmelding bij de toezichthoudende autoriteit strekt tot de openbaarmaking van het doel van de gegevensverwerking en van de belangrijkste kenmerken ervan, opdat een en ander aan de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen kan worden getoetst;
(49) Overwegende dat, om inadequate administratieve formaliteiten te vermijden, voor de verwerkingen die geen inbreuk kunnen maken op de rechten en vrijheden van de betrokkenen, in vrijstelling of vereenvoudiging van de aanmelding kan worden voorzien, mits deze verwerkingen in overeenstemming zijn met een door de Lid-Staat genomen besluit, waarin de grenzen van een en ander worden aangegeven; dat de Lid-Staten eveneens in vrijstelling of vereenvoudiging kunnen voorzien wanneer een persoon die door de voor de verwerking verantwoordelijke is aangewezen zich ervan vergewist dat de verwerkingen geen inbreuk op de rechten en vrijheden van de betrokkenen kunnen maken; dat de aldus voor de bescherming van de gegevens aangewezen persoon, die al dan niet in dienst is van de voor de verwerking verantwoordelijke, zijn taak in volledige onafhankelijkheid moet kunnen uitoefenen;
(50) Overwegende dat in vrijstelling of vereenvoudiging kan worden voorzien bij verwerkingen die alleen tot doel hebben een register bij te houden dat overeenkomstig het nationale recht bestemd is ter voorlichting van het publiek en dat door het publiek of door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd;
(51) Overwegende dat het feit dat hij voor vereenvoudiging of vrijstelling van de aanmelding in aanmerking komt, de voor de verwerking verantwoordelijke niet ontslaat van de overige verplichtingen uit hoofde van deze richtlijn;
(52) Overwegende dat in dit verband toezicht achteraf door de bevoegde autoriteiten in het algemeen als afdoende moet worden beschouwd;
(53) Overwegende evenwel dat bepaalde verwerkingen door hun aard, reikwijdte of doel, voor de rechten en vrijheden van de betrokkenen bijzondere risico’s meebrengen, zoals het uitsluiten van personen van een recht, een uitkering of een overeenkomst, of verwerkingen waarbij een bijzonder gebruik wordt gemaakt van nieuwe technologie, dat de Lid-Staten desgewenst in hun wetgeving dergelijke risico’s dienen te preciseren;
(54) Overwegende dat van alle verwerkingen die in de samenleving worden uitgevoerd, het aantal waaraan dergelijke risico’s kleven zeer beperkt zou moeten zijn, dat de Lid-Staten voor deze verwerkingen in een voorafgaand onderzoek door de toezichthoudende autoriteit of door de met gegevensbescherming belaste functionaris in overleg met de toezichthoudende autoriteit dienen te voorzien; dat de toezichthoudende autoriteit na dit voorafgaand onderzoek naar gelang van het nationale recht waaronder zij valt advies kan uitbrengen of toestemming kan geven voor de verwerking; dat een dergelijk onderzoek ook kan worden uitgevoerd in het kader van de voorbereiding van een door het nationale parlement aan te nemen maatregel of op basis van een dergelijke wettelijke maatregel, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen;
(55) Overwegende dat in geval van niet-eerbiediging van de rechten van de betrokkenen door de voor de verwerking verantwoordelijke, krachtens de nationale wetgeving een beroep op de rechter mogelijk moet zijn; dat de schade die de betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden hersteld door de voor de verwerking verantwoordelijke, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, met name wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht; dat voor iedere privaatrechtelijke dan wel publiekrechtelijke persoon die de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen niet in acht neemt, sancties moeten gelden;
(56) Overwegende dat grensoverschrijdend verkeer van persoonsgegevens voor de ontwikkeling van het internationale handelsverkeer noodzakelijk is; dat de door deze richtlijn in de Gemeenschap gewaarborgde bescherming van personen het doorgeven van persoonsgegevens naar derde landen die een passend beschermingsniveau waarborgen niet in de weg staat; dat bij de beoordeling van het door een derde land geboden beschermingsniveau rekening dient te worden gehouden met alle omstandigheden van een doorgifte of een categorie doorgiften;
(57) Overwegende dat daarentegen doorgifte van persoonsgegevens naar een derde land dient te worden verboden, indien daar geen passend beschermingsniveau wordt geboden;
(58) Overwegende dat onder bepaalde omstandigheden, wanneer de betrokkene daartoe toestemming heeft gegeven, afwijkingen van dit verbod moeten kunnen worden toegestaan, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer de bescherming van een zwaarwegend algemeen belang zulks vereist, bij voorbeeld in het geval van internationale gegevensuitwisselingen tussen belasting of douanediensten of tussen voor de sociale zekerheid bevoegde diensten, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang; dat bij een dergelijke doorgifte niet de totaliteit van de in dit register opgenomen gegevens of categorieën gegevens zou mogen worden verstrekt; dat wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, de doorgifte slechts zou moeten kunnen plaatsvinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd;
(59) Overwegende dat bijzondere maatregelen kunnen worden getroffen om het ontoereikende beschermingsniveau in een derde land te verhelpen indien de voor de verwerking verantwoordelijke passende waarborgen biedt; dat daarenboven in onderhandelingsprocedures tussen de Gemeenschap en de betrokken derde landen dient te worden voorzien;
(60) Overwegende dat doorgifte naar derde landen in elk geval slechts mogelijk is met volledige inachtneming van de bepalingen welke de Lid-Staten hebben vastgesteld ter uitvoering van deze richtlijn, en met name van artikel 8;
(61) Overwegende dat de Lid-Staten en de Commissie op hun respectieve bevoegdheidsgebieden de betrokken beroepsgroepen dienen aan te moedigen gedragscodes op te stellen om, rekening houdend met het specifieke karakter van de verwerkingen in sommige sectoren, de uitvoering van deze richtlijn te bevorderen met inachtneming van de ter uitvoering daarvan vastgestelde nationale bepalingen;
(62) Overwegende dat het voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang is dat in elke Lid-Staat onafhankelijke toezichthoudende autoriteiten worden ingesteld;
(63) Overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat;
(64) Overwegende dat de autoriteiten van de verschillende Lid-Staten elkaar bij de vervulling van hun taken wederzijds zullen moeten bijstaan om te waarborgen dat de beschermingsvoorschriften in de Europese Unie ten volle worden geëerbiedigd;
(65) Overwegende dat op communautair niveau een werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens dient te worden ingesteld, welke haar taken in volstrekte onafhankelijkheid moet kunnen vervullen; dat deze werkgroep, gelet op het bijzondere karakter ervan, de Commissie moet adviseren en met name moet bijdragen tot een homogene toepassing van de ter uitvoering van deze richtlijn vastgestelde nationale voorschriften;
(66) Overwegende dat met het oog op de overdracht van gegevens naar derde landen voor de toepassing van deze richtlijn aan de Commissie uitvoerende bevoegdheid dient te worden toegekend en dat volgens de in Besluit 87/373/EEG van de Raad (1) vervatte regels een procedure dient te worden ingesteld;
(67) Overwegende dat er op 20 december 1994 een overeenkomst is gesloten over een “modus vivendi” tussen het Europees parlement, de Raad en de Commissie op het gebied van de maatregelen ter uitvoering van de besluiten die zijn vastgesteld volgens de procedure van artikel 189 B van het EG-Verdrag;
(68) Overwegende dat de in deze richtlijn vervatte beginselen inzake de bescherming van de rechten en de vrijheden van personen, met name die van de eerbiediging van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, in het bijzonder ten aanzien van bepaalde sectoren kunnen worden aangevuld met of nader uitgewerkt in specifieke voorschriften die met deze beginselen in overeenstemming zijn;
(69) Overwegende dat de Lid-Staten een termijn van niet langer dan drie jaar dient te worden gelaten, te rekenen vanaf de datum van inwerkingtreding van de nationale maatregelen waarbij deze richtlijn in nationaal recht wordt omgezet, om hen in de gelegenheid te stellen op alle reeds lopende gegevensverwerkingen geleidelijk de bovenbedoelde nieuwe nationale voorschriften toe te passen; dat de Lid-Staten, om een hoge kosteneffectiviteit bij de tenuitvoerlegging van deze bepalingen mogelijk te maken, mogen voorzien in een aanvullende periode, die twaalf jaar na de datum van aanneming van deze richtlijn verstrijkt, om bestaande manuele bestanden met sommige bepalingen van deze richtlijn in overeenstemming te brengen; dat wanneer gegevens in dergelijke bestanden gedurende deze aanvullende overgangsperiode daadwerkelijk handmatig worden verwerkt, de bestanden op het moment van de uitvoering van de verwerking met deze bepalingen in overeenstemming moeten worden gebracht;
(70) Overwegende dat er geen aanleiding toe is dat de betrokkene de voor de verwerking verantwoordelijke opnieuw toestemming geeft om na de inwerkingtreding van de nationale bepalingen die op grond van deze richtlijn zijn vastgesteld een verwerking van gevoelige gegevens te blijven uitvoeren die nodig is voor de uitvoering van een overeenkomst die op basis van vrije en geïnformeerde toestemming is gesloten vóór de inwerkingtreding van voornoemde bepalingen;
(71) Overwegende dat deze richtlijn een Lid-Staat niet belet direct marketing met betrekking tot de op zijn grondgebied verblijf houdende consumenten aan een regeling te onderwerpen, mits deze de bescherming van personen in verband met de verwerking van persoonsgegevens onverlet laat;
(72) Overwegende dat deze richtlijn de mogelijkheid biedt om bij de tenuitvoerlegging van de in de richtlijn vastgelegde beginselen rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten,
HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:
HOOFDSTUK I ALGEMENE BEPALINGEN
Artikel 1
Onderwerp van de richtlijn
1. De Lid-Staten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.
2. De Lid-Staten mogen het vrije verkeer van persoonsgegevens tussen Lid-Staten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.
Artikel 2
Definities
In de zin van deze richtlijn wordt verstaan onder:
a) “persoonsgegevens”, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna “betrokkene” te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;
b) “verwerking van persoonsgegevens”, hierna “verwerking” te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
c) “bestand van persoonsgegevens”, hierna “bestand” te noemen, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;
d) “voor de verwerking verantwoordelijke”, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij nationale of communautaire wettelijke of bestuursrechtelijke bepalingen, kan in het nationale of communautaire recht worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;
e) “verwerker”, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;
f) “derde”, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;
g) “ontvanger”, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam aan wie, respectievelijk waaraan de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; instanties waaraan gegevens kunnen worden meegedeeld in het kader van een bijzondere onderzoeksopdracht worden evenwel niet beschouwd als ontvangers;
h) “toestemming van de betrokkene”, elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.
Artikel 3
Werkingssfeer
1. De bepalingen van deze richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
2. De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:
– die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de Staat (waaronder de economie van de Staat, wanneer deze verwerkingen in verband staan met vraagstukken van Staatsveiligheid), en de activiteiten van de Staat op strafrechtelijk gebied;
– die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht.
Artikel 4
Toepasselijk nationaal recht
1. Elke Lid-Staat past zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien:
a) die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de Lid-Staat van de voor de verwerking verantwoordelijke; wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene Lid-Staten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving;
b) de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de Lid-Staat, maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is;
c) de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.
2. In de in lid 1, onder c), bedoelde omstandigheden moet de voor de verwerking verantwoordelijke een op het grondgebied van de betrokken Lid-Staat gevestigde vertegenwoordiger aanwijzen, onverminderd rechtsvorderingen die tegen de voor de verwerking verantwoordelijke zelf kunnen worden ingesteld.
HOOFDSTUK II ALGEMENE VOORWAARDEN VOOR DE RECHTMATIGHEID VAN DE VERWERKING VAN PERSOONSGEGEVENS
Artikel 5
De Lid-Staten bepalen binnen de grenzen van de bepalingen van dit hoofdstuk nader de voorwaarden waaronder de verwerking van persoonsgegevens rechtmatig is.
AFDELING I
BEGINSELEN BETREFFENDE DE KWALITEIT VAN DE GEGEVENS
Artikel 6
1. De Lid-Staten bepalen dat de persoonsgegevens:
a) eerlijk en rechtmatig moeten worden verwerkt;
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze de onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lid-Staten passende garanties bieden;
c) toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;
d) nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren;
e) in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De Lid-Staten voorzien in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
2. Op de voor de verwerking verantwoordelijke rust de plicht om voor de naleving van het bepaalde in lid 1 zorg te dragen.
AFDELING II
BEGINSELEN BETREFFENDE DE TOELAATBAARHEID VAN GEGEVENSVERWERKING
Artikel 7
De Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:
a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of
b) de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene, of
c) de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of
d) de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of
e) de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, drager is opgedragen, of
f) de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren.
AFDELING III
BIJZONDERE CATEGORIEËN VERWERKINGEN
Artikel 8
Verwerkingen die bijzondere categorieën gegevens betreffen
1. De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.
2. Lid 1 is niet van toepassing wanneer:
a) de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de Lid-Staat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt; of
b) de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de rechten van de voor de verwerking verantwoordelijke inzake arbeidsrecht, voor zover zulks is toegestaan bij de nationale wetgeving en deze adequate garanties biedt; of
c) de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien deze lichamelijk of juridisch niet in staat is van zijn instemming te getuigen; of
d) de verwerking wordt verricht door een stichting, een vereniging, of enige andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van hun gerechtvaardigde activiteiten en met de nodige garanties, mits de verwerking uitsluitend betrekking heeft op de leden van de stichting, de vereniging of de instantie of op de personen die in verband met haar streefdoelen regelmatige contacten met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden worden doorgegeven; of
e) de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.
3. Lid 1 is niet van toepassing wanneer de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt.
4. Mits passende waarborgen worden geboden, mogen de Lid-Staten om redenen van zwaarwegend algemeen belang bij nationale wet of bij een besluit van de toezichthoudende autoriteit nog andere afwijkingen naast die bedoeld in lid 2 vaststellen.
5. Verwerkingen van gegevens inzake overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen mogen alleen worden verricht onder toezicht van de overheid of indien de nationale wetgeving voorziet in passende specifieke waarborgen, behoudens afwijkingen die een Lid-Staat kan toestaan uit hoofde van nationale bepalingen welke passende en specifieke waarborgen bieden. Een volledig register van strafrechtelijke veroordelingen mag alleen worden bijgehouden onder toezicht van de overheid.
De Lid-Staten kunnen voorschrijven dat ook verwerkingen van gegevens inzake administratieve sancties of burgerrechtelijke beslissingen onder toezicht van de overheid kunnen worden verricht.
6. De in de leden 4 en 5 bedoelde afwijkingen van lid 1 worden ter kennis van de Commissie gebracht.
7. De Lid-Staten stellen de voorwaarden vast waaronder een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard voor verwerkingsdoeleinden mag worden gebruikt.
Artikel 9
Verwerking van persoonsgegevens en vrijheid van meningsuiting
De Lid-Staten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van dit hoofdstuk en van de hoofdstukken IV en VI uitsluitend voor zover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting.
AFDELING IV
INFORMATIEVERSTREKKING AAN DE BETROKKENE
Artikel 10
Informatieverstrekking in geval van verkrijging van gegevens bij de betrokkene
De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of diens vertegenwoordiger aan de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden verkregen, ten minste de hierna volgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is:
a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger,
b) de doeleinden van de verwerking waarvoor de gegevens zijn bestemd,
c) verdere informatie zoals
– de ontvangers of de categorieën ontvangers van de gegevens;
– antwoord op de vraag of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van niet-beantwoording,
– het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,
voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verkregen wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.
Artikel 11
Informatieverstrekking aan de betrokkene wanneer de gegevens niet bij de betrokkene zijn verkregen
1. De Lid-Staten bepalen dat wanneer de gegevens niet bij de betrokkene zijn verkregen de voor de verwerking verantwoordelijke of diens vertegenwoordiger, op het moment van registratie van de gegevens of wanneer verstrekking van de gegevens aan een derde wordt overwogen, aan de betrokkene uiterlijk op het moment van de eerste verstrekking van de gegevens ten minste de volgende informatie moet verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is:
a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger,
b) de doeleinden van de verwerking,
c) verdere informatie zoals
– de betrokken gegevenscategorieën;
– de ontvangers of de categorieën ontvangers;
– het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,
voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verzameld wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.
2. Het bepaalde in lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost of indien de registratie of verstrekking bij wet is voorgeschreven. In deze gevallen zorgen de Lid-Staten voor passende waarborgen.
AFDELING V
RECHT VAN DE BETROKKENE OP TOEGANG TOT DE GEGEVENS
Artikel 12
Recht van toegang
De Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen:
a) vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten:
– uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;
– verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens;
– mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1;
b) naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens;
c) kennisgeving aan derden aan wie de gegevens zijn verstrekt, van elke rectificatie, uitwissing of afscherming, uitgevoerd overeenkomstig punt b), tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost.
AFDELING VI
UITZONDERINGEN EN BEPERKINGEN
Artikel 13
Uitzonderingen en beperkingen
1. De Lid-Staten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van
a) de veiligheid van de Staat;
b) de landsverdediging;
c) de openbare veiligheid;
d) het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen;
e) een belangrijk economisch en financieel belang van een Lid-Staat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;
f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e), bedoelde gevallen;
g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.
2. Mits er passende wettelijke garanties worden geboden, met name dat de gegevens niet zullen worden gebruikt om maatregelen of besluiten te treffen ten aanzien van een individuele betrokkene, mogen de Lid-Staten ingeval er duidelijk geen gevaar bestaat dat inbreuk wordt gepleegd op de persoonlijke levenssfeer van de betrokkene, de in artikel 12 bedoelde rechten beperken wanneer de gegevens uitsluitend met het oog op wetenschappelijk onderzoek worden verwerkt of slechts gedurende de periode die nodig is voor het opstellen van statistieken in de vorm van persoonlijke gegevens worden bewaard.
AFDELING VII
RECHT VAN VERZET VAN DE BETROKKENE
Artikel 14
Recht van verzet van de betrokkene
De Lid-Staten kennen de betrokkene het recht toe:
a) zich ten minste in de gevallen, bedoeld in artikel 7, onder e) en f), te allen tijde om zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. In geval van gerechtvaardigd verzet mag de door de voor de verwerking verantwoordelijke persoon verrichte verwerking niet langer op deze gegevens betrekking hebben;
b) zich te verzetten, op verzoek en kosteloos, tegen de voorgenomen verwerking van hem betreffende persoonsgegevens door de voor de verwerking verantwoordelijke persoon met het oog op direct marketing, of te worden ingelicht voordat persoonsgegevens voor de eerste keer aan derden worden verstrekt of voor rekening van derden worden gebruikt voor direct marketing en het recht uitdrukkelijk ter kennis gebracht te krijgen dat hij of zij zich kosteloos kan verzetten tegen deze verstrekking of dit gebruik van gegevens.
De Lid-Staten nemen de nodige maatregelen om te waarborgen dat de betrokkenen kennis hebben van het bestaan van het in de eerste alinea van punt b) bedoelde recht.
Artikel 15
Geautomatiseerde individuele besluiten
1. De Lid-Staten kennen een ieder het recht toe niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren.
2. Onverminderd het bepaalde in de overige artikelen van deze richtlijn bepalen de Lid-Staten dat een persoon aan een besluit als bedoeld in lid 1 kan worden onderworpen, indien dat besluit:
a) wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst, mits aan het verzoek van de betrokkene is voldaan of passende maatregelen, zoals de mogelijkheid zijn standpunt te doen gelden, zijn genomen ter bescherming van zijn gerechtvaardigde belang; of
b) zijn grondslag vindt in een wet waarin de maatregelen zijn omschreven die strekken tot bescherming van het gerechtvaardigde belang van de betrokkene.
AFDELING VIII
VERTROUWELIJKHEID EN BEVEILIGING VAN DE VERWERKING
Artikel 16
Vertrouwelijkheid van de verwerking
Een ieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de voor de verwerking verantwoordelijke verwerken, behoudens op grond van wettelijke verplichtingen.
Artikel 17
Beveiliging van de verwerking
1. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.
Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich brengen.
2. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking en moet toezien op de naleving van die maatregelen.
3. De uitvoering van verwerkingen door een verwerker moet worden geregeld in een overeenkomst of een rechtsakte die de verwerker bindt jegens de voor de verwerker verantwoordelijke en waarin met name wordt bepaald dat
– de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke,
– de in lid 1 bedoelde verplichtingen, zoals gedefinieerd door de wetgeving van de Lid-Staat waarin de verwerker is gevestigd, eveneens op deze persoon rusten.
4. Met het oog op de bewaring van de bewijzen, worden de elementen van de overeenkomst of rechtsakte betreffende de bescherming van de gegevens en de vereisten inzake de in lid 1 bedoelde maatregelen schriftelijk of in een gelijkwaardige vorm vastgelegd.
AFDELING IX
AANMELDING
Artikel 18
Verplichting tot aanmelding bij de toezichthoudende autoriteit
1. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of, in voorkomend geval, diens vertegenwoordiger, bij de in artikel 28 bedoelde toezichthoudende autoriteit aanmelding dient te doen, voordat wordt overgegaan tot een of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn.
2. De Lid-Staten kunnen alleen in de volgende gevallen en onder de volgende voorwaarden voorzien in vereenvoudigde aanmelding of vrijstelling van deze verplichting tot aanmelding:
– wanneer zij voor de categorieën verwerkingen waarbij, rekening houdend met de verwerkte gegevens, inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is, preciseren: de doeleinden van de verwerking, de verwerkte gegevens of categorieën verwerkte gegevens, de categorie(ën) betrokkenen, de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt, en de periode gedurende welke de gegevens worden bewaard, en/of
– wanneer de voor de verwerking verantwoordelijke, overeenkomstig het nationale recht waaraan hij is onderworpen, een functionaris voor de gegevensbescherming aanwijst die met name
– op onafhankelijke wijze toezicht uitoefent op de toepassing binnen de organisatie van de krachtens deze richtlijn getroffen nationale maatregelen,
– een register bijhoudt van de door de voor verwerking verantwoordelijke verrichte verwerkingen, waarin de in artikel 21, lid 2, bedoelde gegevens opgenomen zijn,
en er aldus voor zorgt dat inbreuk op de rechten en vrijheden van de betrokkenen door de verwerkingen onwaarschijnlijk is.
3. De Lid-Staten kunnen bepalen dat lid 1 niet van toepassing is op verwerkingen die alleen tot doel hebben een register bij te houden dat volgens de wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd.
4. De Lid-Staten kunnen voor de in artikel 8, lid 2, onder d), bedoelde verwerkingen voorzien in afwijking van de aanmeldingsplicht of in vereenvoudigde aanmelding.
5. De Lid-Staten kunnen bepalen dat sommige of alle niet-geautomatiseerde verwerkingen van persoonsgegevens aangemeld moeten worden, eventueel in vereenvoudigde vorm.
Artikel 19
Inhoud van de aanmelding
1. De Lid-Staten bepalen welke inlichtingen in de aanmelding moeten worden opgenomen. Deze inlichtingen behelzen ten minste:
a) de naam en het adres van de voor verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger;
b) het (de) doeleinde(n) van de verwerking;
c) een beschrijving van de categorie(ën) betrokkenen en van de gegevens of categorieën gegevens die daarop betrekking hebben;
d) de ontvangers of categorieën ontvangers aan wie de gegevens kunnen worden verstrekt;
e) de voorgenomen overdrachten van gegevens naar derde landen;
f) een algemene beschrijving om op voorhand te kunnen beoordelen of de genomen maatregelen om, ter toepassing van artikel 17, de beveiliging van de verwerking te waarborgen, afdoende zijn.
2. De Lid-Staten geven nader aan volgens welke procedures wijzigingen in de in lid 1 bedoelde inlichtingen bij de toezichthoudende autoriteit moeten worden aangemeld.
Artikel 20
Voorafgaand onderzoek
1. De Lid-Staten geven aan welke verwerkingen mogelijk specifieke risico’s voor de persoonlijke rechten en vrijheden inhouden en dragen er zorg voor dat zij vóór de aanvang van de verwerking onderzocht worden.
2. Deze voorafgaande onderzoeken worden uitgevoerd door de toezichthoudende autoriteit na ontvangst van een aanmelding van de voor de verwerking verantwoordelijke, of door de functionaris voor de gegevensbescherming, die in twijfelgevallen de toezichthoudende autoriteit moet raadplegen.
3. De Lid-Staten kunnen een dergelijk onderzoek ook uitvoeren in het kader van de voorbereiding van een maatregel van het nationale parlement ofwel van een op een dergelijke wettelijke maatregel gebaseerde maatregel waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen.
Artikel 21
Openbaarheid van de verwerkingen
1. De Lid-Staten nemen maatregelen om te zorgen voor de openbaarheid van de verwerkingen.
2. De Lid-Staten bepalen dat de toezichthoudende autoriteit een register van de uit hoofde van artikel 18 aangemelde verwerkingen behoudt.
Het register bevat ten minste de in artikel 19, lid 1, onder a) tot en met e), bedoelde inlichtingen.
Het register kan door een ieder worden geraadpleegd.
3. De Lid-Staten dragen er zorg voor, met betrekking tot de van aanmelding vrijgestelde verwerkingen, dat de voor de verwerking verantwoordelijke of een door de Lid-Staten aangewezen instantie, ten minste de inlichtingen als bedoeld in artikel 19, lid 1, onder a) tot en met e), op passende wijze verstrekken aan een ieder die daarom verzoekt.
De Lid-Staten kunnen stipuleren dat deze bepaling niet van toepassing is op verwerkingen die alleen tot doel hebben een register bij te houden dat volgens de wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd.
HOOFDSTUK III BEROEP OP DE RECHTER, AANSPRAKELIJKHEID EN SANCTIES
Artikel 22
Beroep
Onverminderd de administratieve voorziening die met name bij de in artikel 28 bedoelde toezichthoudende autoriteit kan worden getroffen voordat de zaak aanhangig wordt gemaakt voor de rechter, bepalen de Lid-Staten dat een ieder zich tot de rechter kan wenden wanneer de rechten die hem worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht geschonden worden.
Artikel 23
Aansprakelijkheid
1. De Lid-Staten bepalen dat een ieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen.
2. De voor de verwerking verantwoordelijke kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.
Artikel 24
Sancties
De Lid-Staten nemen passende maatregelen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen en stellen met name de sancties vast die gelden bij inbreuk op de ter uitvoering van deze richtlijn vastgestelde bepalingen.
HOOFDSTUK IV DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN
Artikel 25
Beginselen
1. De Lid-Staten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, dat land een passend beschermingsniveau waarborgt.
2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.
3. De Lid-Staten en de Commissie brengen elkaar op de hoogte van de gevallen waarin, naar hun oordeel, een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt.
4. Wanneer de Commissie volgens de procedure van artikel 31, lid 2, constateert dat een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt, nemen de Lid-Staten de nodige maatregelen om doorgifte van gegevens van dezelfde aard naar het betrokken land te voorkomen.
5. De Commissie opent op het gepaste ogenblik onderhandelingen ter verhelping van de situatie die voortvloeit uit de in lid 4 bedoelde constatering.
6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen.
De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.
Artikel 26
Afwijkingen
1. In afwijking van artikel 25 en behoudens andersluidende bepalingen van hun nationale recht betreffende specifieke gevallen, bepalen de Lid-Staten dat een doorgifte of categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, mag plaatsvinden mits:
a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven, of
b) de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, of
c) de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst, of
d) de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of
e) de doorgifte noodzakelijk is ter vrijwaring van het vitale belang van de betrokkene, of
f) de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging.
2. Onverminderd het bepaalde in lid 1 kan een Lid-Staat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.
3. De Lid-Staat stelt de Commissie en de overige Lid-Staten in kennis van de toestemmingen die hij op grond van lid 2 verleent.
Indien een andere Lid-Staat of de Commissie met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen een naar behoren gemotiveerd verzet aantekent, stelt de Commissie passende maatregelen vast volgens de procedure van artikel 31, lid 2.
De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.
4. Wanneer de Commissie volgens de in artikel 31, lid 2, bedoelde procedure besluit dat bepaalde modelcontractbepalingen voldoende waarborgen bieden in de zin van lid 2, nemen de Lid-Staten de nodige maatregelen om zich naar het besluit van de Commissie te voegen.
HOOFDSTUK V GEDRAGSCODES
Artikel 27
1. De Lid-Staten en de Commissie moedigen de opstelling aan van gedragscodes, die bestemd zijn om naar gelang van de specifieke kenmerken van de sectoren bij te dragen tot een goede toepassing van de ter uitvoering van deze richtlijn door de Lid-Staten vastgestelde nationale bepalingen.
2. De Lid-Staten bepalen dat beroepsverenigingen en andere vertegenwoordigingsorganen van andere categorieën van voor de verwerking verantwoordelijken die ontwerpen van nationale gedragscodes hebben opgesteld, of voornemens zijn bestaande nationale codes te wijzigen of te verlengen, deze voor advies aan de nationale autoriteit kunnen voorleggen.
De Lid-Staten bepalen dat deze autoriteit zich er inzonderheid van vergewist dat de haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze richtlijn vastgestelde nationale voorschriften. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst.
3. De ontwerpen van communautaire codes, alsmede wijzigingen of verlengingen van bestaande communautaire codes, kunnen aan de in artikel 29 bedoelde Groep worden voorgelegd. Deze spreekt er zich met name over uit of de haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst. De Commissie kan zorg dragen voor een passende bekendmaking van de gedragscodes waarover de Groep een gunstig advies heeft uitgebracht.
HOOFDSTUK VI TOEZICHTHOUDENDE AUTORITEIT EN GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS
Artikel 28
Toezichthoudende autoriteit
1. Elke Lid-Staat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de Lid-Staten vastgestelde bepalingen.
Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid.
2. Elke Lid-Staat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens.
3. Elke toezichthoudende autoriteit beschikt met name over:
– onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;
– effectieve bevoegdheden om in te grijpen, zoals bij voorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen;
– de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.
Tegen beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden aangetekend.
4. Een ieder kan in eigen persoon of door middel van een vereniging die als zijn vertegenwoordiger optreedt bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld.
Een ieder kan meer bepaald bij elke autoriteit een verzoek indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 van deze richtlijn vastgestelde nationale bepalingen van toepassing zijn. Hij wordt in ieder geval in kennis gesteld van het feit dat een verificatie heeft plaatsgevonden.
5. Elke toezichthoudende autoriteit stelt op gezette tijden een verslag op over haar activiteiten. Dit verslag wordt gepubliceerd.
6. Elke toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, op het grondgebied van haar eigen Lid-Staat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen. Elke autoriteit kan door een autoriteit van een andere Lid-Staat worden verzocht haar bevoegdheden uit te oefenen.
De toezichthoudende autoriteiten werken onderling samen voor zover zulks noodzakelijk is voor de uitvoering van hun taken, met name door de uitwisseling van alle nuttige inlichtingen.
7. De Lid-Staten bepalen dat de leden en personeelsleden van de toezichthoudende autoriteit ook na beëindiging van hun werkzaamheden aan het beroepsgeheim zijn onderworpen voor wat betreft de vertrouwelijke gegevens waartoe zij toegang hebben.
Artikel 29
Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens
1. Er wordt een Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens ingesteld, hierna “de Groep” te noemen.
De Groep is onafhankelijk en is van raadgevende aard.
2. De Groep bestaat uit een vertegenwoordiger van de door iedere Lid-Staat aangewezen toezichthoudende autoriteit(en), een vertegenwoordiger van de voor de communautaire instellingen en organen opgerichte autoriteit(en) en een vertegenwoordiger van de Commissie.
Elk lid van de Groep wordt aangewezen door de instelling of de autoriteit(en) die hij vertegenwoordigt. Wanneer een Lid-Staat verscheidene toezichthoudende autoriteiten heeft aangewezen, benoemen deze een gemeenschappelijke vertegenwoordiger. Dat geldt ook voor de voor de communautaire instellingen en organen opgerichte autoriteiten.
3. De Groep neemt haar besluiten met een gewone meerderheid van stemmen van de vertegenwoordigers van de toezichthoudende autoriteiten.
4. De Groep kiest een voorzitter. De ambtstermijn van de voorzitter bedraagt twee jaar. Deze termijn kan worden verlengd.
5. De Commissie is belast met het secretariaat van de Groep.
6. De Groep stelt haar reglement van orde vast.
7. De Groep behandelt alle aangelegenheden die door de voorzitter hetzij op diens initiatief hetzij op verzoek van een vertegenwoordiger van de toezichthoudende autoriteiten, hetzij op verzoek van de Commissie op de agenda worden geplaatst.
Artikel 30
1. De Groep heeft tot taak:
a) elke kwestie betreffende de toepassing van de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen te bestuderen, teneinde bij te dragen tot een homogene toepassing daarvan;
b) de Commissie van advies te dienen over het beschermingsniveau in de Gemeenschap en in derde landen;
c) de Commissie te adviseren over voorstellen tot wijziging van deze richtlijn, voorstellen voor aanvullende of specifieke maatregelen die met het oog op de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens dienen te worden genomen, alsmede over elk ander voorstel voor communautaire maatregelen die voor die rechten en vrijheden gevolgen hebben;
d) advies uit te brengen over de op communautair niveau opgestelde gedragscodes.
2. Wanneer de Groep vaststelt dat er tussen de wetgeving of de praktijk van de Lid-Staten discrepanties ontstaan waardoor aan de gelijkwaardigheid van de bescherming van personen in verband met de verwerking van persoonsgegevens in de Gemeenschap afbreuk zou kunnen worden gedaan, brengt zij de Commissie daarvan op de hoogte.
3. De Groep kan uit eigen beweging aanbevelingen doen over elke aangelegenheid die met de bescherming van personen in verband met de verwerking van persoonsgegevens in de Gemeenschap verband houdt.
4. De adviezen en aanbevelingen van de Groep worden aan de Commissie en aan het in artikel 31 bedoelde Comité toegezonden.
5. De Commissie deelt de Groep mee welk gevolg zij aan de adviezen en aanbevelingen heeft gegeven. Zij stelt daartoe een verslag op, dat eveneens aan het Europees Parlement en aan de Raad wordt toegezonden. Het verslag wordt gepubliceerd.
6. De Groep stelt jaarlijks een verslag op over de stand van zaken met betrekking tot de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens in de Gemeenschap en in derde landen. Zij legt dit verslag voor aan de Commissie, aan het Europees Parlement en aan de Raad. Het verslag wordt gepubliceerd.
HOOFDSTUK VII COMMUNAUTAIRE UITVOERINGSMAATREGELEN
Artikel 31
Het Comité
1. De Commissie wordt bijgestaan door een Comité bestaande uit vertegenwoordigers van de Lid-Staten en voorgezeten door de vertegenwoordiger van de Commissie.
2. De vertegenwoordiger van de Commissie legt het Comité een ontwerp voor van de te nemen maatregelen. Het Comité brengt advies uit over dit ontwerp binnen een termijn die de voorzitter kan vaststellen naar gelang van de urgentie van de materie.
Het Comité spreekt zich uit met de meerderheid van stemmen die in artikel 148, lid 2, van het Verdrag is voorgeschreven. Bij de stemming in het Comité worden de stemmen van de vertegenwoordigers van de Lid-Staten gewogen overeenkomstig genoemd artikel. De voorzitter neemt niet aan de stemming deel.
De Commissie stelt maatregelen vast die onmiddellijk van toepassing zijn. Indien deze maatregelen echter niet in overeenstemming zijn met het advies van het Comité, worden zij onverwijld door de Commissie ter kennis van de Raad gebracht. In dat geval:
– stelt de Commissie de toepassing van de maatregelen waartoe zij heeft besloten uit voor een periode van drie maanden, te rekenen vanaf de datum van kennisgeving;
– kan de Raad binnen de in het eerste streepje genoemde termijn met een gekwalificeerde meerderheid van stemmen een andersluidend besluit nemen.
SLOTBEPALINGEN
Artikel 32
1. De Lid-Staten doen de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om uiterlijk aan het einde van een termijn van drie jaar te rekenen vanaf de aanneming van deze richtlijn aan deze richtlijn te voldoen.
Wanneer de Lid-Staten deze bepalingen aannemen, wordt in die bepalingen naar de onderhavige richtlijn verwezen of wordt hiernaar verwezen bij de officiële bekendmaking van die bepalingen. De regels voor deze verwijzing worden vastgesteld door de Lid-Staten.
2. De Lid-Staten dragen er zorg voor dat verwerking die reeds bezig is op de datum waarop de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen in werking treden, binnen een termijn van drie jaar te rekenen vanaf die datum wordt aangepast aan die bepalingen.
In afwijking van de eerste alinea kunnen de Lid-Staten bepalen dat de verwerking van gegevens die op de datum van inwerkingtreding van de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen reeds in niet-geautomatiseerde bestanden voorkwamen, aan de artikelen 6, 7 en 8 van deze richtlijn worden aangepast binnen een termijn van twaalf jaar te rekenen vanaf de datum van aanneming van deze richtlijn. De Lid-Staten garanderen de betrokkenen evenwel het recht om desgevraagd en inzonderheid wanneer zij hun recht op toegang uitoefenen gegevens die onvolledig of onjuist zijn, dan wel opgeslagen zijn op een wijze die onverenigbaar is met de gerechtvaardigde doeleinden van de voor de verwerking verantwoordelijke, te laten corrigeren, wissen of afschermen.
3. In afwijking van lid 2 kunnen de Lid-Staten, behoudens passende waarborgen, bepalen dat gegevens die alleen voor historisch onderzoek worden opgeslagen, niet worden aangepast aan de artikelen 6, 7 en 8 van deze richtlijn.
4. De Lid-Staten delen de Commissie de tekst van de bepalingen van intern recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.
Artikel 33
De Commissie brengt op gezette tijden, en voor het eerst uiterlijk drie jaar na de in artikel 32, lid 1, genoemde datum, aan de Raad en het Europees Parlement verslag uit over de toepassing van deze richtlijn, in voorkomend geval onder bijvoeging van passende wijzigingsvoorstellen. Dit verslag wordt gepubliceerd.
De Commissie zal met name de toepassing van deze richtlijn op de verwerking van geluid- en beeldgegevens betreffende natuurlijke personen nagaan en passende voorstellen doen die in het licht van de ontwikkelingen van de informatietechnologie en de activiteiten in verband met de informatiemaatschappij nodig mochten blijken.
Artikel 34
Deze richtlijn is gericht tot de Lid-Staten.
Gedaan te Luxemburg, 24 oktober 1995.
Voor het Europees Parlement
De Voorzitter
K. HAENSCH
Voor de Raad
De Voorzitter
L. ATIENZA SERNA
(1) PB nr. C 277 van 5. 11. 1990, blz. 3, en
PB nr. C 311 van 27. 11. 1992, blz. 36.
(2) PB nr. C 159 van 17. 6. 1991, blz. 38.
(3) Advies van het Europees Parlement van 11 maart 1992 (PB nr. C 94 van 13. 4. 1992, blz. 198), bevestigd op 2 december 1993 (PB nr. C 342 van 20. 12. 1993, blz. 30); gemeenschappelijk standpunt van de Raad van 20 februari 1995 (PB nr. C 93 van 13. 4. 1995, blz. 1) en besluit van het Europees Parlement van 15 juni 1995 (PB nr. C 166 van 3. 7. 1995).
(1) PB nr. L 197 van 18. 7. 1987, blz. 33.