Uitvoeringsvoorschriften van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens — Besluit van het Bureau van 22 juni 2005
Uitvoeringsvoorschriften van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens — Besluit van het Bureau van 22 juni 2005
6.12.2005 | NL | Publicatieblad van de Europese Unie | C 308/1 |
Uitvoeringsvoorschriften van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens
Besluit van het Bureau van 22 juni 2005
(2005/C 308/01)
HET BUREAU,
Gezien het Verdrag tot oprichting van de Europese Gemeenschap, inzonderheid artikel 286 daarvan,
Gezien Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, inzonderheid artikel 24, lid 8 daarvan,
Gelet op artikel 22, lid 2 van het Reglement van het Europees Parlement,
Overwegende wat volgt:
(1) | Verordening (EG) nr. 45/2001 (hierna „de verordening” genoemd) stelt de beginselen en voorschriften vast die gelden voor alle communautaire instellingen en organen en voorziet in de aanstelling door elke communautaire instelling en elk communautair orgaan van een functionaris voor gegevensbescherming. |
(2) | Artikel 24, lid 8 van de verordening bepaalt dat nadere uitvoeringsvoorschriften door de communautaire instelling of door het communautaire orgaan worden vastgesteld overeenkomstig de bijlage bij de verordening. Deze uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming. |
(3) | De uitvoeringsvoorschriften hebben ten doel procedures vast te stellen om de betrokkenen de gelegenheid te geven om hun rechten uit te oefenen en om alle personen die binnen de communautaire instellingen en organen te maken hebben met de verwerking van persoonsgegevens in staat te stellen hun verplichtingen na te komen. |
BESLUIT:
Artikel 1
Doel
1. Het onderhavige besluit stelt de algemene voorschriften vast voor de uitvoering van de verordening voor wat betreft het Europees Parlement. Het vormt met name een aanvulling op de bepalingen van de verordening ten aanzien van de taken, verplichtingen en bevoegdheden van de functionaris(sen) voor gegevensbescherming van het Europees Parlement.
2. Bovendien worden voorschriften vastgesteld voor de uitoefening van de rechten van de betrokkene, evenals de procedure voor de kennisgeving van verwerking en de procedure voor toegang tot het register van de verwerkingen dat door de functionaris voor gegevensbescherming wordt bijgehouden.
Artikel 2
Aanstelling, statuut en onafhankelijkheid
1. De secretaris-generaal stelt een functionaris voor gegevensbescherming aan die uit de ambtenaren van de communautaire instellingen en organen wordt gekozen op grond van zijn persoonlijke en professionele kwaliteiten en, in het bijzonder, zijn deskundigheid inzake gegevensbescherming. De functionaris voor de gegevensbescherming wordt benoemd volgens de procedure van artikel 29 van het Statuut van de ambtenaren.
2. De secretaris-generaal registreert de naam van de functionaris voor gegevensbescherming bij de Europese Toezichthouder voor gegevensbescherming.
3. Om zijn taken te kunnen vervullen wordt de functionaris voor gegevensbescherming vrijgesteld van alle andere werkzaamheden bij het Europees Parlement. Hij kan andere functies verrichten, maar alleen als dit niet leidt tot een belangenconflict met zijn functie als functionaris voor gegevensbescherming, met name ten aanzien van de toepassing van de bepalingen van de verordening.
4. De functionaris voor gegevensbescherming wordt benoemd voor een periode van vijf jaar die één keer verlengd kan worden. Enkel indien hij niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet, kan hij, alleen met instemming van de Europese Toezichthouder voor gegevensbescherming, worden ontslagen. Raadpleging van de Europese Toezichthouder voor gegevensbescherming geschiedt schriftelijk, van welk schrijven de functionaris een afschrift ontvangt.
5. De functionaris voor gegevensbescherming oefent zijn taken onafhankelijk uit. Hij mag hierbij geen enkele instructie krijgen, met name niet van het tot aanstelling bevoegd gezag, de secretaris-generaal of wie ook, betreffende de interne toepassing van de bepalingen van de verordening dan wel zijn samenwerking met de Europese Toezichthouder voor gegevensbescherming. De functionaris voor gegevensbescherming onthoudt zich van alle handelingen die onverenigbaar zijn met de aard van zijn taken.
6. De functionaris voor gegevensbescherming deelt de bevoegde autoriteiten van het Europees Parlement mede hoeveel personeelsleden en middelen voor de uitvoering van zijn taken noodzakelijk zijn. Ook kan hij een beroep doen op gespecialiseerd extern personeel om hem bij het vervullen van zijn taken bij te staan.
7. De functionaris voor gegevensbescherming en zijn personeel vallen steeds onder de voorschriften en bepalingen van het Statuut van de ambtenaren en de regeling welke geldt voor de andere personeelsleden.
8. De functionaris voor gegevensbescherming en zijn personeel, voor wie artikel 287 van het Verdrag geldt, zijn, zelfs na afloop van hun functie, gehouden alle vertrouwelijke documenten en inlichtingen die zij in het kader van de uitoefening van hun functie hebben verkregen, geheim te houden.
Artikel 2 bis
Adjunct-functionarissen
1. De secretaris-generaal kan adjunct-functionarissen voor gegevensbescherming aanstellen. Artikel 2, leden 4, 5, 7 en 8 geldt ook voor deze adjunct-functionarissen.
2. De functionaris, de adjunct-functionarissen en hun personeel maken integraal deel uit van de Dienst gegevensbescherming. Deze dienst wordt geleid door de functionaris.
3. De functionaris kan bij al zijn werkzaamheden worden bijgestaan of bij afwezigheid of verhindering worden vervangen door een adjunct-functionaris.
Artikel 3
Functie
1. De functionaris voor gegevensbescherming waakt binnen het Europees Parlement over de toepassing van de bepalingen van de verordening. Hij verricht zijn taken in samenwerking met de Europese Toezichthouder voor gegevensbescherming.
2. De functionaris kan te allen tijde door iedereen en met name door de betrokkenen worden geraadpleegd over elke kwestie die te maken heeft met de toepassing van de verordening. De functionaris is inzonderheid gehouden de Dienst register advies te verlenen om te voldoen aan de bepalingen van het besluit van het Bureau van 28 november 2001 betreffende de toegang van het publiek tot documenten van het Europees Parlement.
3. De functionaris voor gegevensbescherming vertegenwoordigt het Secretariaat-generaal van het Europees Parlement voor alle kwesties die verband houden met de gegevensverwerking. Hij kan met name deelnemen aan de vergaderingen van comités of relevante instanties op het internationale vlak.
Artikel 4
Taken
De functionaris voor gegevensbescherming heeft de volgende taken:
— | Inkennisstelling: de functionaris stelt de verantwoordelijken voor de verwerking van het Europees Parlement en de betrokkenen in kennis van hun rechten en plichten die uit de verordening voortvloeien. Hij verstrekt hiertoe de nodige informatie inzake de geldende wetgeving, lopende procedures en bestaande gemelde bestanden en maakt de uitoefening van voormelde rechten en plichten mogelijk. |
— | Verzoeken van de Europese Toezichthouder voor gegevensbescherming: de functionaris gaat in op verzoeken van de Europese Toezichthouder voor gegevensbescherming. |
— | Samenwerking met de Europese Toezichthouder voor gegevensbescherming: de functionaris werkt samen met de Europese Toezichthouder binnen het kader van diens bevoegdheden, op verzoek van deze laatste of op eigen initiatief, met name bij de behandeling van klachten en de uitoefening van inspectietaken. |
— | Inkennisstelling van de Europese Toezichthouder voor gegevensbescherming: de functionaris stelt de Europese Toezichthouder in kennis van relevante ontwikkelingen bij het Europees Parlement die van belang zijn voor de bescherming van persoonsgegevens. |
— | Bijhouden van een register van de verwerkingen: de functionaris houdt een register bij van de verwerkingen die door de verantwoordelijken voor de verwerking overeenkomstig artikel 26 van de verordening zijn verricht en maakt de raadpleging van dit register door eenieder mogelijk. |
— | Kennisgeving van verwerkingen die bijzondere risico's kunnen inhouden: de functionaris geeft kennis van elke verwerking die bijzondere risico's kan inhouden in de zin van artikel 27 van de verordening, aan de Europese Toezichthouder voor gegevensbescherming. In geval van twijfel over de noodzaak van voorafgaande controle raadpleegt de functionaris voor gegevensbescherming de Europese Toezichthouder voor gegevensbescherming. |
— | Waarborgen van de rechten en vrijheden van de betrokkenen: de functionaris voor gegevensbescherming draagt er zorg voor dat verwerkingen geen schending van de rechten en vrijheden van de betrokkenen zullen veroorzaken en niemand nadeel ondervindt van het feit dat hij bij de functionaris voor gegevensbescherming een klacht heeft ingediend waarin op een schending van de bepalingen van de verordening wordt gewezen. |
Artikel 5
Bevoegdheden
1. Bij de uitoefening van zijn functie kan de functionaris voor gegevensbescherming overeenkomstig de bepalingen van de verordening:
— | op eigen initiatief aanbevelingen doen aan de verantwoordelijken voor de verwerking en de secretaris-generaal van het Europees Parlement betreffende kwesties die verband houden met de toepassing van de bepalingen inzake de bescherming van gegevens of die zijn opgenomen in de onderhavige uitvoeringsvoorschriften; |
— | op eigen initiatief of op verzoek van de verantwoordelijke voor de verwerking, van het personeelscomité van het Europees Parlement of van elke natuurlijke persoon, onderzoek uitvoeren naar zaken en gebeurtenissen die rechtstreeks verband houden met zijn taken en waarvan hij op de hoogte is gesteld. Dit onderzoek moet onpartijdig zijn en rekening houden met de rechten van de betrokken persoon. De functionaris voor gegevensbescherming brengt over zijn onderzoek verslag uit aan de persoon die om het onderzoek verzocht heeft en aan de verantwoordelijke voor de verwerking; |
— | de secretaris-generaal op de hoogte stellen indien de bepalingen van de verordening niet worden nagekomen; |
— | regelmatig deelnemen aan vergaderingen met de Europese Toezichthouder voor gegevensbescherming en/of de functionarissen voor gegevensbescherming van de andere instellingen en organen om informatie uit te wisselen en te zorgen voor interinstitutionele samenwerking en harmonisatie van de toepassing van de geldende procedures; |
— | elk jaar een activiteitenverslag over de werkzaamheden op het gebied van de gegevensbescherming in het Europees Parlement opstellen voor de secretaris-generaal en de Europese Toezichthouder voor gegevensbescherming, welk verslag toegankelijk wordt gemaakt voor het personeel van het Europees Parlement; |
— | advies uitbrengen inzake de rechtmatigheid van verrichte of voorgestelde verwerkingen, inzake de maatregelen die vereist zijn om de rechtmatigheid daarvan te garanderen en inzake de deugdelijkheid of ongeschiktheid van gegevens of veiligheidsmaatregelen. Het advies kan met name betrekking hebben op elke kwestie die verband houdt met de melding van verrichtingen inzake de verwerking van gegevens. |
2. De functionaris voor gegevensbescherming heeft te allen tijde toegang tot de gegevens die het voorwerp van verwerking vormen en tot alle kantoren, gegevensverwerkingsapparatuur en gegevensdragers.
Artikel 6
Procedure voor de kennisgeving van verwerkingen
1. Alvorens gegevens te verwerken en vroeg genoeg om een eventuele voorafgaande controle te kunnen verrichten in de zin van artikel 27, lid 3 van de verordening, stelt de verantwoordelijke voor de verwerking de functionaris voor gegevensbescherming van de verwerking in kennis. Hij kan hiervoor gebruik maken van het kennisgevingsformulier dat is te vinden op de intranetrubriek van het Europees Parlement. De kennisgeving moet in ieder geval voldoen aan de bepalingen van lid 3. De kennisgeving moet door de verantwoordelijke voor de verwerking worden ondertekend en moet via de interne post dan wel per e-mail of per fax worden toegezonden aan de Dienst gegevensbescherming. Indien de toezending per e-mail of fax gebeurt, moet de Dienst gegevensbescherming binnen 10 kalenderdagen na de toezending in het bezit zijn van het ondertekende origineel op papier.
2. Verwerkingen die op de datum van inwerkingtreding van de verordening, te weten 1 februari 2002, reeds in uitvoering zijn, worden door de verantwoordelijke voor de verwerking onverwijld gemeld volgens de in lid 1 beschreven kennisgevingsprocedure.
3. De te verstrekken informatie behelst ten minste:
a) | naam en adres van de verantwoordelijke voor de verwerking en een indicatie van de diensten van het Europees Parlement die met de verwerking van persoonsgegevens voor een bepaald doel belast zijn; |
b) | doeleinde(n) van de verwerking; |
c) | beschrijving van de categorie(ën) betrokkenen en van de gegevens of categorieën gegevens die daarop betrekking hebben; |
d) | de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn; |
e) | de ontvangers of categorieën ontvangers aan wie de gegevens bekend kunnen worden gemaakt; |
f) | een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens worden afgeschermd en gewist; |
g) | de voorgenomen gegevensdoorgiften naar derde landen, naar internationale organisaties of naar ontvangers die onder de nationale wetgeving van een lidstaat vallen; |
h) | een algemene beschrijving om vooraf te kunnen beoordelen of de overeenkomstig artikel 22 van de verordening genomen maatregelen om de beveiliging van de verwerking te waarborgen, adequaat zijn. |
4. De verantwoordelijke voor de verwerking stelt de functionaris voor gegevensbescherming onverwijld in kennis van elke wijziging in de in lid 3 genoemde informatie.
Artikel 7
Register van de verwerkingen
1. De functionaris voor gegevensbescherming houdt een register van de overeenkomstig artikel 6 gemelde verwerkingen bij. Dit register bevat alle gemelde verwerkingen in het Europees Parlement en vermeldt met name de dienst die verantwoordelijk is voor de verwerking, de gegevens die zijn verwerkt en het doeleinde van de verwerking.
Dit register is toegankelijk voor eenieder en vergemakkelijkt bovendien de uitoefening van de in de artikelen 13 t/m 19 van de verordening genoemde erkende rechten van de betrokkene.
2. Het register bevat de in artikel 6, lid 3, letters a) t/m g) van dit besluit bedoelde informatie.
3. Indien hij dit nodig oordeelt kan de functionaris het initiatief nemen om gegevens in het register te rectificeren ten einde de nauwkeurigheid daarvan te verzekeren.
Artikel 8
Algemene bepalingen inzake de uitoefening door de betrokkenen van hun rechten
1. Het recht op toegang, rectificatie, afscherming, gegevenswissing en het recht van bezwaar kan slechts worden uitgeoefend door de betrokkene zelf of door zijn naar behoren gemachtigde vertegenwoordiger.
2. Het verzoek om uitoefening van een van deze rechten moet worden gericht aan de verantwoordelijke voor de verwerking. Op de intranetrubriek van het Europees Parlement is hiervoor een formulier in elektronische vorm te vinden. Het verzoek bevat:
— | naam, voornaam en personalia van de betrokkene; |
— | vermelding van het uitgeoefende recht; |
— | eventueel documenten die het verzoek staven; |
— | categorie(ën) van de betrokken gegevens; |
— | ondertekening en datum van het verzoek. |
Het verzoek kan worden verzonden per interne of externe post, per e-mail of per fax, en wel op zodanige wijze dat vastgesteld kan worden dat het verzoek is verzonden en ontvangen. Indien het verzoek fouten of omissies bevat, kan de verantwoordelijke voor de verwerking om nadere informatie verzoeken. De verantwoordelijke voor de verwerking is verplicht de identiteit van de verzoeker te controleren.
3. De verantwoordelijke voor de verwerking is gehouden om op een verzoek om de uitoefening van rechten te antwoorden, zelfs als de verwerkte persoonsgegevens niet in het bestand aanwezig zijn. De verzoeker wordt binnen 5 werkdagen na ontvangst van het verzoek een ontvangstbevestiging toegezonden. De verantwoordelijke is evenwel niet gehouden een ontvangstbevestiging te verzenden als binnen 5 werkdagen uitvoerig op het verzoek wordt geantwoord. Het antwoord wordt langs dezelfde weg verzonden als de betrokkene heeft gebruikt.
4. De verantwoordelijke voor de verwerking is verplicht de betrokkene te wijzen op zijn recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, indien betrokkene van mening is dat de rechten die hij heeft uit hoofde van artikel 286 van het Verdrag bij de verwerking van de hem betreffende persoonsgegevens zijn geschonden.
5. De uitoefening van al deze rechten is voor de betrokkene kosteloos.
6. Een verzoek om de uitoefening van een recht kan worden afgewezen in de in artikel 20 van de verordening bedoelde gevallen, onder voorbehoud van de toepassing van artikel 17 van dit besluit.
Artikel 9
Recht van toegang
1. Elke betrokkene heeft het recht te allen tijde en ongehinderd binnen drie maanden na ontvangst van het verzoek kosteloos van de verantwoordelijke voor de verwerking:
— | uitsluitsel te verkrijgen over het al dan niet plaatsvinden van gegevensverwerking die de betrokkene betreft; |
— | ten minste informatie te verkrijgen over de doeleinden van de verwerking, over de categorieën gegevens waarop de verwerking betrekking heeft en over de ontvangers, respectievelijk de categorieën ontvangers aan wie de gegevens worden verstrekt; |
— | de gegevens die verwerking ondergaan, alsmede elke beschikbare informatie wat de bron van die gegevens betreft, in begrijpelijke vorm verstrekt te krijgen; |
— | inzicht te verkrijgen in de achterliggende gedachte van elke hem betreffende geautomatiseerde gegevensverwerking. |
2. De betrokkene heeft toegang tot zijn persoonlijke gegevens door:
— | inzage ter plaatse; |
— | afgifte van een gewaarmerkt afschrift dat is opgesteld door de verantwoordelijke voor de verwerking; |
— | afgifte van een elektronische kopie; |
— | andere middelen waarover de verantwoordelijke voor de verwerking beschikt al naar gelang de vorm van het bestand. |
Artikel 10
Recht op rectificatie
1. De betrokkene kan van de verantwoordelijke voor de verwerking verlangen dat hij onnauwkeurige of onvolledige persoonsgegevens onverwijld rectificeert.
2. In het verzoek om rectificatie moet duidelijk worden aangegeven welke gegevens gerectificeerd moeten worden en welke correctie aangebracht moet worden. Samen met het verzoek kunnen ook bewijsstukken worden ingediend.
3. Als het verzoek om rectificatie aanvaard wordt, moet onverwijld tot rectificatie worden overgegaan en moet de betrokkene hiervan op de hoogte worden gesteld. Als een verzoek om rectificatie wordt afgewezen, heeft de verantwoordelijke voor de verwerking 15 werkdagen de tijd om de betrokkene hiervan in kennis te stellen in een brief waarin de redenen van de afwijzing staan vermeld.
Artikel 11
Recht op afscherming
1. De betrokkene kan van de verantwoordelijke voor de verwerking verlangen dat hij gegevens afschermt indien:
a) | de nauwkeurigheid ervan door de betrokkene wordt betwist, gedurende een periode die de verantwoordelijke voor de verwerking in staat stelt de nauwkeurigheid, met inbegrip van de volledigheid van de gegevens te verifiëren, |
b) | de verantwoordelijke voor de verwerking die gegevens niet langer voor de uitoefening van zijn, respectievelijk haar taken, nodig heeft, maar die gegevens nog moeten worden bewaard voor de bewijsvoering, |
c) | de verwerking ervan onwettig is en de betrokkene zich tegen het wissen ervan verzet en in de plaats daarvan afscherming ervan verzoekt. |
2. In het verzoek om afscherming moet duidelijk worden aangegeven welke gegevens afgeschermd moeten worden. De betrokkene op wiens verzoek gegevens worden afgeschermd, wordt hiervan door de verantwoordelijke voor de verwerking op de hoogte gesteld. Alvorens de afscherming wordt opgeheven, wordt betrokkene hiervan ten minste 15 werkdagen eerder ingelicht.
3. De verantwoordelijke voor de verwerking moet binnen 15 werkdagen na ontvangst van het verzoek om afscherming antwoorden. Als het verzoek om afscherming aanvaard wordt, moet onverwijld tot afscherming worden overgegaan en moet de betrokkene hiervan op de hoogte worden gesteld. Als een verzoek om afscherming wordt afgewezen, heeft de verantwoordelijke voor de verwerking 15 werkdagen de tijd om de betrokkene hiervan in kennis te stellen in een brief waarin de redenen van de afwijzing staan vermeld.
4. In geautomatiseerde gegevensbestanden wordt voor afscherming met technische middelen zorg gedragen. Het feit dat de persoonsgegevens worden afgeschermd, wordt in het bestand op zodanige wijze aangegeven dat duidelijk blijkt dat van de persoonsgegevens geen gebruik mag worden gemaakt.
5. Op grond van dit artikel afgeschermde persoonsgegevens worden, afgezien van de opslag ervan, slechts verwerkt ten behoeve van bewijsvoering of met toestemming van de betrokkene, of ter bescherming van rechten van derden.
Artikel 12
Recht op gegevenswissing
1. De betrokkene kan van de verantwoordelijke voor de verwerking verlangen dat hij de persoonsgegevens wist indien de verwerking ervan onwettig is.
2. In het verzoek om gegevenswissing moet duidelijk worden aangegeven welke gegevens gewist moeten worden. Indien de verantwoordelijke voor de verwerking het onwettige karakter van de gegevens betwist, dan moet hij het bewijs leveren van de wettigheid van de verwerking.
3. De verantwoordelijke voor de verwerking moet binnen 15 werkdagen na ontvangst van het verzoek om gegevenswissing antwoorden. Als het verzoek wordt ingewilligd, dan moet het onverwijld worden uitgevoerd. Indien de verantwoordelijke voor de verwerking van mening is dat het verzoek ongegrond is, dan heeft hij 15 werkdagen de tijd om betrokkene hiervan in kennis te stellen in een brief waarin de redenen staan vermeld.
4. Wissing betekent dat de gegevens feitelijk verdwijnen, zonder dat zij worden vervangen door een code of dat een alternatief bestand wordt aangelegd dat de gewiste gegevens bevat. Indien wissing van de gegevens om technische redenen onmogelijk is, gaat de verantwoordelijke voor de verwerking onmiddellijk over tot afscherming ervan. De betrokkene wordt van een en ander in kennis gesteld.
Artikel 12 bis
Kennisgeving aan derden
De betrokkene kan van de verantwoordelijke voor de verwerking verlangen dat hij derden aan wie de gegevens zijn verstrekt, in kennis stelt van elke rectificatie, wissing of afscherming uit hoofde van de artikelen 10 tot en met 12, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost. Als kennisgeving aan een derde wordt afgewezen omdat dit onmogelijk is of onevenredig veel moeite kost, heeft de verantwoordelijke voor de verwerking 15 werkdagen de tijd om betrokkene hiervan in kennis te stellen in een brief waarin de redenen staan vermeld.
Artikel 13
Recht van bezwaar
1. De betrokkene heeft het recht om op grond van zwaarwegende en gerechtvaardigde redenen die met zijn bijzondere situatie verband houden, te allen tijde bezwaar aan te tekenen tegen de verwerking van hem betreffende gegevens, behalve in de gevallen genoemd in artikel 5 letters b), c) en d) van de verordening.
2. De betrokkene heeft het recht om te worden ingelicht voordat persoonsgegevens voor de eerste keer aan derden worden verstrekt of voor rekening van derden worden gebruikt ten behoeve van direct marketing, en krijgt uitdrukkelijk de mogelijkheid geboden zich kosteloos te verzetten tegen deze verstrekking of dit gebruik van gegevens.
3. In het bezwaarschrift moet worden vermeld om welk(e) gegeven(s) het gaat.
4. De verantwoordelijke voor de verwerking moet betrokkene binnen 15 werkdagen na ontvangst van het bezwaarschrift antwoorden. Indien de verantwoordelijke voor de verwerking van mening is dat het bezwaar ongegrond is, stelt hij betrokkene hiervan in kennis stellen in een brief waarin de redenen staan vermeld.
5. Indien het bezwaar gegrond is, dan mag de in lid 1 bedoelde verwerking in kwestie niet betrekking hebben op deze gegevens.
Artikel 14
Controleprocedure
1. Elke betrokken verantwoordelijke voor de verwerking moet de functionaris voor gegevensbescherming bij de uitoefening van zijn functie bijstaan en deze in antwoord op zijn vragen binnen 20 werkdagen informatie verstrekken. Bij de uitoefening van zijn functie heeft de functionaris voor gegevensbescherming te allen tijde toegang tot de gegevens die het voorwerp van verwerking vormen en tot alle kantoren, gegevensverwerkingsapparatuur en gegevensdragers.
2. De functionaris voor gegevensbescherming kan te allen tijde besluiten om elk ander type controle uit te voeren om de goede toepassing van de verordening door het Europees Parlement te verzekeren.
Artikel 15
Beroepsmogelijkheden
1. Eenieder die in dienst is van het Europees Parlement kan, zonder de officiële kanalen te volgen, bij de Europese Toezichthouder voor gegevensbescherming een klacht indienen in de zin van artikel 33 van de verordening. Indiening van een dergelijke klacht heeft niet tot gevolg dat de termijnen voor de indiening van klachten uit hoofde van artikel 90 van het Statuut van de ambtenaren worden opgeschort.
2. Onafhankelijk van het in lid 1 bedoelde recht kan eenieder die in dienst is van het Europees Parlement een klacht uit hoofde van artikel 90 van het Statuut van de ambtenaren inzake een kwestie die verband houdt met de verwerking van persoonsgegevens indienen bij het tot aanstelling bevoegde gezag. In dat geval wordt de functionaris voor gegevensbescherming door de bevoegde diensten om advies gevraagd.
Artikel 16
Beperkingen
1. De verantwoordelijke voor de verwerking kan de in de artikelen 9 tot en met 13 van het onderhavige besluit genoemde rechten beperken om de in artikel 20, lid 1 van de verordening genoemde redenen. De verantwoordelijke voor de verwerking raadpleegt vooraf de functionaris voor gegevensbescherming.
2. Indien een beperking wordt toegepast, stelt de verantwoordelijke de betrokkene overeenkomstig het Gemeenschapsrecht in kennis van de voornaamste redenen waarop de beperking berust en van zijn, respectievelijk haar recht om zich tot de Europese Toezichthouder voor gegevensbescherming en het Hof van Justitie te wenden.
3. De verantwoordelijke voor de verwerking antwoordt onverwijld op verzoeken om de toepassing van beperkingen op de uitoefening van rechten en geeft redenen voor zijn besluit.
Artikel 17
Verantwoordelijken voor de verwerking
1. De secretaris-generaal kan bij afzonderlijk besluit een van hem afhankelijk gezag benoemen tot verantwoordelijke voor de verwerking in de zin van artikel 2, onder d) van de verordening.
2. De verantwoordelijke voor de verwerking heeft tot taak erover te waken dat de verwerkingen onder zijn toezicht overeenkomstig de verordening geschieden. Hij heeft in het bijzonder tot taak:
— | de functionaris voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming terzijde te staan bij de uitoefening van hun taken, met name door binnen uiterlijk twintig werkdagen de informatie te verstrekken waarom zij verzoeken; |
— | passende technische en organisatorische maatregelen te treffen en personeelsleden van het Europees Parlement of andere personen die onder hun gezag staan de nodige instructies te geven om te zorgen voor de vertrouwelijkheid van de verwerking en een niveau van veiligheid dat passend is gezien de risico's die de verwerking met zich meebrengt; |
— | de functionaris voor gegevensbescherming van te voren in kennis te stellen van elke verwerking van gegevens overeenkomstig artikel 6. |
Artikel 17 bis
Toegang tot documenten
1. Het register van de verwerkingen is openbaar en in elektronische vorm toegankelijk. Eenieder kan het register rechtstreeks raadplegen en de functionaris voor gegevensbescherming van het Europees Parlement verzoeken om een eensluidend afschrift van de inschrijving van een specifieke verwerking. Ook indirecte toegang is mogelijk via de Europese Toezichthouder voor gegevensbescherming.
2. De documenten van de functionaris voor gegevensbescherming en zijn diensten vallen onder de toepassing van Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie.
Artikel 18
Inwerkingtreding
Het onderhavige besluit treedt in werking op de dag volgende op de dag van bekendmaking ervan in het Publicatieblad van de Europese Unie.