GEMEENSCHAPPELIJK STANDPUNT (EG) Nr. 1/95 door de Raad vastgesteld op 20 februari 1995 met het oog op de aanneming van Richtlijn 95/. . ./EG van het Europees Parlement en de Raad van . . . betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens

GEMEENSCHAPPELIJK STANDPUNT (EG) Nr. 1/95 door de Raad vastgesteld op 20 februari 1995 met het oog op de aanneming van Richtlijn 95/. . ./EG van het Europees Parlement en de Raad van . . . betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (95/C 93/01)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, inzonderheid op artikel 100 A,

Gezien het voorstel van de Commissie (1),

Gezien het advies van het Economisch en Sociaal Comité (2),

Volgens de procedure van artikel 189 B van het Verdrag (3),

Overwegende dat de doelstellingen van de Gemeenschap, vermeld in het Verdrag zoals gewijzigd door het Verdrag betreffende de Europese Unie, erin bestaan een steeds hechtere Unie tussen de Europese volkeren en nauwere betrekkingen tussen de in de Gemeenschap verenigde Staten tot stand te brengen, door gemeenschappelijk optreden de economische en sociale vooruitgang te verzekeren en daartoe de barrières die Europa verdelen, te verwijderen, een voortdurende verbetering van de levensomstandigheden van deze volkeren te bevorderen, de waarborgen voor vrede en vrijheid te versterken en, uitgaande van de fundamentele rechten die in de grondwetten en de wetten van de Lid-Staten alsmede in het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden zijn erkend, de democratie te bevorderen;

Overwegende dat de systemen voor de verwerking van gegevens ten dienste van de mens staan; dat zij de fundamentele rechten en vrijheden en inzonderheid de persoonlijke levenssfeer van natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, moeten eerbiedigen en tot de economische en sociale vooruitgang, tot de ontwikkeling van het handelsverkeer en tot het welzijn van de individuen moeten bijdragen;

Overwegende dat er voor de totstandbrenging en de werking van de interne markt, waarin volgens artikel 7 A van het Verdrag het vrije verkeer van goederen, personen, diensten en kapitaal is gewaarborgd, niet alleen verkeer van persoonsgegevens van de ene Lid-Staat naar de andere mogelijk moet zijn, maar dat ook de fundamentele rechten van personen moeten worden beschermd;

Overwegende dat in de Gemeenschap op diverse terreinen van het economische en sociale leven steeds vaker van verwerking van persoonsgegevens gebruik wordt gemaakt; dat de vorderingen van de informatietechnologieën de verwerking en de uitwisseling van deze gegevens aanzienlijk vergemakkelijken;

Overwegende dat de economische en sociale integratie die van de totstandbrenging en de werking van de interne markt in de zin van artikel 7 A van het Verdrag het gevolg is, noodzakelijkerwijs een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens tussen alle, zowel particuliere als openbare, deelnemers aan het economische en sociale leven van de Lid-Staten met zich brengt; dat er tussen ondernemingen die in verschillende Lid-Staten zijn gevestigd, steeds meer persoonsgegevens zullen worden uitgewisseld; dat de nationale overheden van de Lid-Staten krachtens het Gemeenschapsrecht tot samenwerking en tot onderlinge uitwisseling van persoonsgegevens worden genoopt, teneinde in het kader van de ruimte zonder binnengrenzen die de interne markt omvat, hun opdracht te kunnen vervullen of ten behoeve van de overheid in een andere Lid-Staat taken te kunnen verrichten;

Overwegende dat bovendien de intensivering van de technische en wetenschappelijke samenwerking en de gecooerdineerde totstandbrenging van nieuwe telecommunicatie-netwerken in de Gemeenschap het grensoverschrijdend verkeer van persoonsgegevens noodzakelijk maken en vergemakkelijken;

Overwegende dat verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, op het stuk van de verwerking van persoonsgegevens in de Lid-Staten is gewaarborgd, het doorzenden van die gegevens van het grondgebied van de ene Lid-Staat naar dat van een andere kunnen beletten; dat deze verschillen bijgevolg een belemmering kunnen vormen voor de uitoefening van een reeks economische activiteiten op communautaire schaal, de mededinging kunnen vervalsen en de overheid kunnen beletten haar taak ten aanzien van de toepassing van het Gemeenschapsrecht te vervullen; dat deze verschillen in beschermingsniveau het gevolg zijn van divergenties tussen de nationale wettelijke en bestuursrechtelijke bepalingen;

Overwegende dat, teneinde de belemmeringen voor het verkeer van persoonsgegevens op te heffen, het niveau van de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van deze gegevens in alle Lid-Staten gelijkwaardig moet zijn; dat dit doel, dat voor de interne markt van fundamenteel belang is, niet kan worden bereikt door een optreden van louter de Lid-Staten, gezien met name de omvang van de bestaande divergenties tussen de geldende nationale wettelijke regelingen ter zake en de noodzaak om de wetgevingen van de Lid-Staten op elkaar af te stemmen teneinde voor de grensoverschrijdende stromen van persoonsgegevens tot een samenhangende reglementering te komen die in overeenstemming is met de doelstelling van de interne markt in de zin van artikel 7 A van het Verdrag; dat een optreden van de Gemeenschap in de vorm van een onderlinge aanpassing van de wetgevingen derhalve noodzakelijk is;

Overwegende dat de Lid-Staten, wegens de gelijkwaardige bescherming die voortvloeit uit de onderlinge aanpassing van de nationale wetgevingen, het vrije verkeer van persoonsgegevens tussen de Lid-Staten niet langer mogen belemmeren om redenen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen, met name het recht op persoonlijke levenssfeer; dat aan de Lid-Staten een zekere vrijheid wordt gelaten die binnen het kader van de tenuitvoerlegging van de richtlijn kan worden gebruikt door de economische en sociale partners; dat zij derhalve in hun nationale recht kunnen bepalen onder welke algemene voorwaarden de verwerkingen rechtmatig zijn; dat de Lid-Staten er daarbij naar dienen te streven de momenteel door hun wetgeving geboden bescherming te verbeteren; dat zich binnen de grenzen van deze vrijheid, overeenkomstig het Gemeenschapsrecht, ongelijkheden kunnen voordoen bij de tenuitvoerlegging van de richtlijn, hetgeen gevolgen kan hebben op het gegevensverkeer binnen een Lid-Staat en in de Gemeenschap;

Overwegende dat de nationale wetgevingen betreffende de verwerking van persoonsgegevens tot doel hebben de handhaving van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de algemene beginselen van het Gemeenschapsrecht is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar er juist op gericht moet zijn in de Gemeenschap een hoog beschermingsniveau te waarborgen;

Overwegende dat de in deze richtlijn vervatte beginselen met betrekking tot de bescherming van de rechten en de vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, de beginselen van het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens concretiseren en versterken;

Overwegende dat de beginselen inzake bescherming moeten gelden voor alle verwerkingen van persoonsgegevens, zodra de werkzaamheden van de voor de verwerking verantwoordelijke binnen de werkingssfeer van het Gemeenschapsrecht vallen; dat dit niet geldt voor de verwerking van gegevens door een natuurlijke persoon voor activiteiten uitsluitend voor persoonlijke of huishoudelijke doeleinden, bij voorbeeld correspondentie en het bewaren van adressenbestanden;

Overwegende dat de in de titels V en VI van het Verdrag betreffende de Europese Unie bedoelde activiteiten met betrekking tot openbare veiligheid, defensie, staatsveiligheid en de activiteiten van de Staat op strafrechtelijk gebied niet onder de toepassingssfeer van het Gemeenschapsrecht vallen, onverminderd de verplichtingen die de Lid-Staten hebben uit hoofde van de artikelen 56, lid 2, 57 en 100 A van het Verdrag; dat de verwerking van persoonsgegevens, noodzakelijk voor de economie van een Staat, niet onder deze richtlijn valt indien deze verwerking verband houdt met de staatsveiligheid;

Overwegende dat, gezien het belang van de in het kader van de informatiemaatschappij aan de gang zijnde ontwikkelingen inzake de technieken voor het opvangen, doorsturen, manipuleren, registreren, bewaren of mededelen van geluid- en beeldgegevens betreffende natuurlijke personen, deze richtlijn ook van toepassing zou moeten zijn op verwerkingen die op deze gegevens betrekking hebben;

Overwegende dat verwerkingen die op dergelijke gegevens betrekking hebben slechts onder deze richtlijn vallen als zij geautomatiseerd zijn of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria teneinde een gemakkelijke toegang tot de betrokken persoonsgegevens mogelijk te maken;

Overwegende dat verwerkingen van geluid- en beeldgegevens, zoals gegevens van videobewaking, niet binnen de werkingssfeer van deze richtlijn vallen als deze verwerkingen plaatsvinden met het oog op de openbare veiligheid, de defensie, de veiligheid van de Staat en de activiteiten van de Staat op strafrechtelijk gebied of met het oog op de uitoefening van andere activiteiten die niet onder het Gemeenschapsrecht vallen;

Overwegende dat wat betreft verwerkingen van geluid- en beeldgegevens voor journalistieke, literaire of artistieke doeleinden, met name audiovisuele, de beginselen van de richtlijn overeenkomstig artikel 9, met een aantal beperkingen van toepassing zijn;

Overwegende dat, om te voorkomen dat een persoon wordt uitgesloten van de bescherming waarop hij krachtens deze richtlijn recht heeft, alle verwerkingen van persoonsgegevens in de Gemeenschap moeten worden uitgevoerd overeenkomstig de wetgeving van een van de Lid-Staten; dat in dit verband de verwerking die wordt uitgevoerd door een persoon die in een Lid-Staat is gevestigd, door het recht van die Staat dient te worden geregeld;

Overwegende dat de vestiging op het grondgebied van een Lid-Staat het effectief en werkelijk uitoefenen van activiteiten door een vaste vestiging voor een onbepaalde periode veronderstelt; dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is; dat, wanneer één voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene Lid-Staten, met name door middel van een dochteronderneming, hij dient te waarborgen dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt;

Overwegende dat het feit dat de verwerking wordt uitgevoerd door een persoon die in een derde land gevestigd is, de bescherming van personen waarin de onderhavige richtlijn voorziet, niet in de weg mag staan; dat in dit geval de verwerking moet worden geregeld door het recht van de Lid-Staat waarin de gebruikte middelen zich bevinden, en dat gewaarborgd moet worden dat de rechten en verplichtingen waarin de onderhavige richtlijn voorziet, in de praktijk worden geëerbiedigd;

Overwegende dat deze richtlijn de territorialiteitsregels inzake strafrecht onverlet laat;

Overwegende dat de Lid-Staten in hun wetgeving of bij de toepassing van de ter uitvoering van deze richtlijn vastgestelde bepalingen de algemene voorwaarden nader kunnen aangeven waaronder de verwerkingen rechtmatig zijn; dat met name artikel 5, in samenhang met de artikelen 7 en 8, de Lid-Staten toestaat om behalve in algemene voorschriften, in bijzondere voorwaarden te voorzien voor de verwerking van gegevens in specifieke sectoren en voor de specifieke gegevenscategorieën als bedoeld in artikel 8;

Overwegende dat de Lid-Staten de uitvoering van de bescherming van personen kunnen waarborgen ofwel door een algemene wet betreffende de bescherming van personen tegen de verwerking van persoonsgegevens ofwel door wetten voor bepaalde sectoren, zoals bij voorbeeld die inzake de bureaus voor de statistiek;

Overwegende dat deze richtlijn niet van invloed is op regelingen inzake bescherming van rechtspersonen in verband met de verwerking van persoonsgegevens die op hen betrekking hebben;

Overwegende dat de beginselen van de bescherming enerzijds tot uiting moeten komen in de verplichtingen die aan de personen, overheidsinstanties, ondernemingen of andere lichamen die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens, de technische beveiliging, de aanmelding bij de toezichthoudende autoriteit en de omstandigheden waarin de verwerking kan worden uitgevoerd, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten;

Overwegende dat de beschermingsbeginselen moeten gelden voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon; dat, om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs, door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon, in te zetten zijn om genoemde persoon te identificeren; dat de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is; dat de gedragscodes in de zin van artikel 27 een nuttig instrument kunnen zijn om een indicatie te geven omtrent de middelen waarmee de gegevens anoniem kunnen worden gemaakt en kunnen worden bewaard in een vorm die identificatie van de betrokkene niet langer mogelijk maakt;

Overwegende dat de bescherming van personen zowel op automatische als op niet-automatische verwerking van toepassing is; dat de reikwijdte van deze bescherming in feite niet afhankelijk mag zijn van de gebruikte technieken, omdat zulks ernstig gevaar voor ontduiking zou opleveren; dat niettemin wat de niet-automatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de richtlijn vallen; dat met name de inhoud van een bestand moet worden gestructureerd volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken; dat overeenkomstig de definitie in artikel 2, onder c), de verschillende criteria waarmee de elementen van een gestructureerd geheel van persoonsgegevens, en de verschillende criteria die de toegang tot dit geheel van gegevens regelen, door de Lid-Staten zelf kunnen worden bepaald; dat dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn, in geen geval onder de toepassingssfeer van de onderhavige richtlijn vallen;

Overwegende dat elke verwerking van persoonsgegevens eerlijk en geoorloofd ten opzichte van de betrokkenen dient te geschieden; dat de verwerking met name adequate, ter zake dienende, met de doeleinden evenredige gegevens moet betreffen en dat deze doeleinden expliciet en geoorloofd moeten zijn en moeten worden vastgesteld bij het verzamelen van de gegevens; dat de doelstellingen van latere verwerkingen niet onverenigbaar mogen zijn met de oorspronkelijk omschreven doelen;

Overwegende dat de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden in het algemeen niet wordt beschouwd als onverenigbaar met de doeleinden waarvoor zij eerder werden verzameld, mits de Lid-Staten passende garanties bieden; dat deze garanties met name moeten voorkomen dat de gegevens worden gebruikt voor het nemen van maatregelen of besluiten die tegen een bepaalde persoon gericht zijn;

Overwegende dat verwerking van persoonsgegevens bovendien slechts geoorloofd kan zijn, indien zij plaatsvindt met toestemming van de betrokkene, noodzakelijk is voor de sluiting of uitvoering van een overeenkomst die de betrokkene bindt of voor de eerbiediging van een wettelijke verplichting, voor de uitvoering van een taak van openbaar belang of de uitoefening van overheidsgezag, of ook voor de behartiging van een wettig belang van een persoon, mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren; dat de Lid-Staten, met name om het evenwicht tussen de in het geding zijnde belangen te verzekeren, onder waarborging van een daadwerkelijke mededinging, de voorwaarden kunnen bepalen waaronder persoonsgegevens in het kader van wettige activiteiten van het dagelijks beheer van ondernemingen en andere organisaties, kunnen worden gebruikt en aan derden verstrekt; dat zij evenzo de voorwaarden kunnen bepalen waaronder persoonsgegevens voor commercieel marktonderzoek of onderzoek door een liefdadige instelling of door andere verenigingen of stichtingen, bij voorbeeld van politieke aard, aan derden kunnen worden verstrekt, een en ander met inachtneming van de bepalingen waarbij aan de betrokkenen de mogelijkheid wordt geboden zich zonder opgave van redenen en zonder kosten tegen verwerking van hen betreffende gegevens te verzetten;

Overwegende dat een verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is;

Overwegende dat de Lid-Staten moeten vaststellen of de voor de verwerking verantwoordelijke die belast is met een taak van algemeen belang dan wel met een taak die deel uitmaakt van de uitoefening van het openbaar gezag, een openbaar bestuur of een andere publiekrechtelijke of privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn;

Overwegende dat gegevens die wegens hun aard op de fundamentele vrijheden of op de persoonlijke levenssfeer inbreuk kunnen maken, zonder uitdrukkelijke toestemming van de betrokkene niet het voorwerp van een verwerking mogen zijn; dat evenwel uitdrukkelijk moet worden voorzien in afwijkingen van dit verbod om aan specifieke behoeften te voldoen, met name wanneer de gegevensverwerking wordt gebruikt voor gezondheidsdoeleinden door personen voor wie een beroepsgeheim geldt, of voor het uitvoeren van wettige activiteiten door bepaalde verenigingen of stichtingen, wier doelstelling het is de uitoefening van de fundamentele vrijheden mogelijk te maken;

Overwegende dat de Lid-Staten tevens gemachtigd moeten worden om op grond van een zwaarwegend algemeen belang, van het verbod tot verwerking van categorieën gevoelige gegevens af te wijken op gebieden als de volksgezondheid en de sociale bescherming, vooral voor wat betreft het waarborgen van kwaliteit of rentabiliteit, alsook wat betreft procedures voor afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziekteverzekering, het wetenschappelijk onderzoek en de overheidsstatistieken; dat het evenwel de taak van de Lid-Staten is om in passende, specifieke waarborgen te voorzien om de fundamentele rechten en de persoonlijke levenssfeer te beschermen;

Overwegende, voorts, dat de verwerking van persoonsgegevens door overheidsinstanties ter verwezenlijking van in het constitutionele recht of in het volkenrecht vastgelegde doelstellingen van officieel erkende religieuze verenigingen geschiedt op grond van een zwaarwegend algemeen belang;

Overwegende dat het bij activiteiten in samenhang met verkiezingen voor de goede werking van de democratie vereist is dat politieke partijen gegevens over de politieke opvattingen van personen vergaren, en dat de verwerking van zulke gegevens op grond van het zwaarwegend algemeen belang kan worden toegelaten, mits er passende garanties worden vastgesteld;

Overwegende dat voor de verwerking van persoonsgegevens voor journalistieke, artistieke of literaire, en met name audiovisuele doeleinden moet worden voorzien in uitzonderingen op of beperkingen van bepalingen van deze richtlijn, welke noodzakelijk zijn om de fundamentele rechten van de persoon te verzoenen met de vrijheid van meningsuiting, inzonderheid de vrijheid om inlichtingen te ontvangen of te verstrekken, zoals die met name bij artikel 10 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden wordt gewaarborgd; dat het derhalve de taak van de Lid-Staten is om in het kader van de afweging tussen fundamentele rechten de noodzakelijke uitzonderingen en beperkingen vast te stellen ten aanzien van de algemene maatregelen inzake het gerechtvaardigd zijn van de gegevensverwerking, de overdracht van gegevens naar derde landen alsmede de bevoegdheden van de controlerende instanties; dat zulks evenwel de Lid-Staten er niet toe mag bewegen te voorzien in uitzonderingen op de maatregelen om de beveiliging van de verwerking te garanderen; dat de op dit gebied bevoegde toezichthoudende instantie tevens minimaal bepaalde bevoegdheden a posteriori moeten worden verleend, zoals die tot het op gezette tijden indienen van een verslag of het in rechte optreden;

Overwegende dat eerlijke verwerking van gegevens veronderstelt dat de betrokkenen van het bestaan van de verwerkingen kennis kunnen hebben en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen;

Overwegende dat bepaalde verwerkingen betrekking hebben op gegevens die de verantwoordelijke niet rechtstreeks van de betrokkene heeft verkregen; dat gegevens voorts rechtmatig kunnen worden meegedeeld aan een derde, ook al was deze mededeling ten tijde van het verkrijgen van de gegevens van de betrokkene niet voorzien; dat in al deze gevallen de informatie aan de betrokkene dient te worden verstrekt op het moment van de registratie van de gegevens of, uiterlijk, wanneer de gegevens voor de eerste maal aan een derde worden meegedeeld;

Overwegende dat het evenwel niet noodzakelijk is deze verplichting op te leggen wanneer de betrokkene al op de hoogte is; dat deze verplichting evenmin geldt wanneer deze registratie of mededeling uitdrukkelijk bij de wet is voorgeschreven of wanneer verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost, wat het geval kan zijn voor verwerkingen voor historische, statistische of wetenschappelijke doeleinden; dat hierbij in aanmerking kan worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke compenserende maatregelen kunnen worden getroffen;

Overwegende dat eenieder over het recht moet kunnen beschikken toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij zich van de juistheid en de rechtmatigheid van de verwerking ervan kan vergewissen; dat eenieder om dezelfde redenen ook het recht moet hebben de redeneringen te kennen die aan de automatische verwerking van de hem betreffende gegevens ten grondslag liggen, in elk geval als het gaat om de in artikel 15, lid 1, bedoelde geautomatiseerde besluiten; dat dit recht geen afbreuk mag doen aan de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt; dat zulks er evenwel niet toe mag leiden dat de betrokkene alle informatie wordt geweigerd;

Overwegende dat de Lid-Staten het recht van toegang en van informatie in het belang van de betrokkene of met het oog op de bescherming van andermans rechten en vrijheden kunnen beperken; dat zij, bij voorbeeld, kunnen preciseren dat de toegang tot medische gegevens slechts mogelijk is door tussenkomst van een gezondheidswerker;

Overwegende dat de Lid-Staten ook het recht van toegang en informatie en bepaalde verplichtingen van de voor de verwerking verantwoordelijke kunnen beperken voor zover de beperkingen nodig zijn om bijvoorbeeld de staatsveiligheid, de defensie, de openbare veiligheid, een zwaarwegend economische of financieel belang van een Lid-Staat of van de Unie te vrijwaren of om strafbare feiten of schending van de beroepscode door een beoefenaar van een gereglementeerd beroep op te sporen of te vervolgen; dat, wat de uitzonderingen en beperkingen betreft, de noodzakelijke taken op het gebied van controle, inspectie of het treffen van maatregelen op de drie voornoemde gebieden met betrekking tot de openbare veiligheid, het economisch of financieel belang en de strafvervolging moeten worden opgesomd; dat deze opsomming van taken op die drie gebieden de rechtmatigheid van uitzonderingen en beperkingen om redenen van staatsveiligheid of defensie onverlet laten;

Overwegende dat de Lid-Staten door het Gemeenschapsrecht gehouden kunnen zijn om van de bepalingen van deze richtlijn met betrekking tot het recht van toegang, de informatie van personen en de kwaliteit van de gegevens af te wijken teneinde een of meer van bovengenoemde doeleinden in acht te nemen;

Overwegende dat wanneer deze gegevens het voorwerp kunnen uitmaken van een rechtmatige verwerking op grond van een algemeen belang, de uitoefening van het openbaar gezag of het rechtmatig belang van een persoon, iedere betrokkene evenwel het recht dient te hebben om zich om gewichtige, gerechtvaardigde redenen die met zijn specifieke situatie verband houden, tegen verwerking van hem betreffende gegevens te verzetten; dat de Lid-Staten evenwel de mogelijkheid hebben andersluidende nationale bepalingen vast te stellen;

Overwegende dat de bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens zowel bij het ontwerpen als bij de uitvoering van de verwerking passende technische maatregelen vergt, in het bijzonder om de veiligheid te waarborgen en zodoende elke ongeoorloofde verwerking te verhinderen; dat de Lid-Staten erop moeten toezien dat de voor de verwerking verantwoordelijken aan deze maatregelen de hand houden; dat deze maatregelen een passend niveau van veiligheid moeten waarborgen, rekening houdend met de stand van de techniek en met de kosten van de tenuitvoerlegging in verhouding tot de risico's die de verwerkingen inhouden en tot de aard van de te beschermen gegevens;

Overwegende dat, wanneer een bericht dat persoonsgegevens bevat, wordt verzonden via een telecommunicatiedienst of elektronische postdienst waarvan het enige doel is dit soort berichten door te geven, het de persoon is van wie het bericht uitgaat, en niet degene die de dienst aanbiedt, die normaliter zal worden beschouwd als verantwoordelijk voor de verwerking van de in het bericht vervatte persoonsgegevens; dat evenwel de personen die deze diensten aanbieden normaliter zullen worden beschouwd als verantwoordelijk voor de verwerking van de aanvullende persoonsgegevens die noodzakelijk zijn voor de werking van de dienst;

Overwegende dat de aanmelding bij de toezichthoudende autoriteit strekt tot de openbaarmaking van het doel van de gegevensverwerkingen en van de belangrijkste kenmerken ervan, opdat een en ander aan de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen kan worden getoetst;

Overwegende dat, om inadequate administratieve formaliteiten te vermijden, voor de verwerkingen die geen inbreuk kunnen maken op de rechten en vrijheden van de betrokkenen, in vrijstelling of vereenvoudiging van de aanmelding kan worden voorzien, mits deze verwerkingen in overeenstemming zijn met een door de Lid-Staat genomen besluit, waarin de grenzen van een en ander worden aangegeven; dat de Lid-Staten eveneens in vrijstelling of vereenvoudiging kunnen voorzien wanneer een persoon die door de voor de verwerking verantwoordelijke is aangewezen zich ervan vergewist dat de verwerkingen geen inbreuk op de rechten en vrijheden van de betrokkenen kunnen maken; dat deze aangewezen persoon, die al dan niet in dienst is van de voor de verwerking verantwoordelijke, zijn taak in volledige onafhankelijkheid moet kunnen uitoefenen;

Overwegende dat in vrijstelling of vereenvoudiging moet worden voorzien voor verwerkingen die alleen tot doel hebben een register te houden dat overeenkomstig het nationale recht bestemd is ter voorlichting van het publiek en dat door het publiek of door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd;

Overwegende dat het feit dat hij voor vereenvoudiging of vrijstelling van de aanmelding in aanmerking komt, de voor de verwerking verantwoordelijke niet ontslaat van de overige verplichtingen uit hoofde van deze richtlijn;

Overwegende dat toezicht achteraf door de bevoegde autoriteiten in het algemeen als afdoende moet worden beschouwd;

Overwegende evenwel dat bepaalde gegevens door hun aard, reikwijdte of doel voor de rechten en vrijheden van de betrokkenen bijzondere risico's meebrengen, zoals verwerkingen die tot doel hebben de betrokkenen van een recht, een prestatie of een overeenkomst uit te sluiten, of verwerkingen waarbij een bijzonder gebruik wordt gemaakt van nieuwe technologie; dat de Lid-Staten desgewenst in hun wetgeving dergelijke risico's dienen te preciseren;

Overwegende dat van alle verwerkingen die in de samenwerking worden uitgevoerd, het aantal waaraan dergelijke risico's kleven zeer beperkt moet zijn; dat de Lid-Staten voor deze verwerkingen in een voorafgaand onderzoek door de toezichthoudende autoriteit of door de met gegevensbescherming belaste ambtenaar in overleg met de toezichthoudende autoriteit dienen te voorzien; dat de toezichthoudende autoriteit na dit voorafgaand onderzoek naar gelang van het nationale recht waaronder zij valt advies kan uitbrengen of toestemming kan geven voor de verwerking; dat dit onderzoek ook kan worden uitgevoerd als onderdeel van de voorbereiding van een door het nationale parlement aan te nemen wettelijke maatregel, of op basis van zo'n initiatief, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen;

Overwegende dat in geval van niet-eerbiediging van de rechten van de betrokkenen door de voor de verwerking verantwoordelijke, krachtens de nationale wetgeving een beroep op de rechter mogelijk moet zijn; dat de schade die de betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden hersteld door de voor de verwerking verantwoordelijke, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, met name wanneer hij melding doet van een fout van de betrokkene of van overmacht, dan wel indien hij bewijst passende beveiligingsmaatregelen te hebben getroffen; dat voor ieder privaatrechtelijke dan wel publiekrechtelijke persoon die de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen niet in acht neemt, sancties moeten gelden;

Overwegende dat grensoverschrijdend verkeer van persoonsgegevens voor de ontwikkeling van het internationale handelsverkeer noodzakelijk is; dat de door deze richtlijn in de Gemeenschap gewaarborgde bescherming van personen het doorgeven van persoonsgegevens naar derde landen die een passend beschermingsniveau waarborgen, niet in de weg staat; dat bij de beoordeling van het door een derde land geboden beschermingsniveau rekening dient te worden gehouden met alle omstandigheden van een doorgifte of een categorie doorgiften;

Overwegende dat daarentegen doorgifte van persoonsgegevens naar een derde land dient te worden verboden, indien daar geen passend beschermingsniveau wordt geboden;

Overwegende dat onder bepaalde omstandigheden, wanneer de betrokkene daartoe toestemming heeft gegeven, afwijkingen van dit verbod dienen te worden toegestaan, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer de bescherming van een zwaarwegend algemeen belang zulks vereist, bij voorbeeld in het geval van internationale gegevensuitwisselingen tussen belasting- of douanediensten of tussen voor de sociale zekerheid bevoegde diensten, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang; dat bij een dergelijke doorgifte niet de totaliteit van de in dit register opgenomen gegevens of categorieën gegevens moet worden verstrekt; dat wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, de doorgifte slechts moet kunnen plaatsvinden op verzoek van deze personen, of wanneer de gegevens aan hen zijn gericht;

Overwegende dat bijzondere maatregelen kunnen worden getroffen om het ontoereikende beschermingsniveau in een derde land te verhelpen indien de voor de verwerking verantwoordelijke passende waarborgen biedt; dat daarenboven in onderhandelingsprocedures tussen de Gemeenschap en de betrokken derde landen dient te worden voorzien;

Overwegende dat doorgifte naar derde landen in elk geval slechts mogelijk is met volledige inachtneming van de bepalingen welke de Lid-Staten hebben vastgelegd ter uitvoering van deze richtlijn, en met name van artikel 8;

Overwegende dat de Lid-Staten en de Commissie op hun respectieve bevoegdheidsgebieden de betrokken beroepsgroepen dienen aan te moedigen gedragscodes op te stellen om, rekening houdend met het specifieke karakter van de verwerkingen in sommige sectoren, de uitvoering van deze richtlijn te bevorderen met inachtneming van de ter uitvoering daarvan vastgestelde nationale bepalingen;

Overwegende dat het voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang is dat in elke Lid-Staat onafhankelijke toezichthoudende autoriteiten worden ingesteld;

Overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun taak te vervullen, of het nu gaat om onderzoeksbevoegdheden, om het recht om actief in te grijpen met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat;

Overwegende dat de autoriteiten van de verschillende Lid-Staten elkaar bij de vervulling van hun taken wederzijds zullen moeten bijstaan om te waarborgen dat de beschermingsvoorschriften in de Europese Unie ten volle worden geëerbiedigd;

Overwegende dat op communautair niveau een groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens dient te worden ingesteld, welke haar taken in volstrekte onafhankelijkheid moet kunnen vervullen; dat deze groep, gelet op het bijzondere karakter ervan, de Commissie moet adviseren en met name moet bijdragen tot een homogene toepassing van de ter uitvoering van deze richtlijn vastgestelde nationale voorschriften;

Overwegende dat, met het oog op de overdracht van gegevens naar derde landen, voor de toepassing van deze richtlijn aan de Commissie uitvoerende bevoegdheid dient te worden toegekend en dat volgens de in Besluit 87/373/EEG (4) vervatte regels een procedure dient te worden ingesteld;

Overwegende dat de in deze richtlijn vervatte beginselen inzake bescherming van de rechten en de vrijheden van personen, met name die van de eerbiediging van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, in het bijzondere ten aanzien van bepaalde sectoren kunnen worden aangevuld met of nader uitgewerkt in met deze beginselen in overeenstemming zijnde specifieke voorschriften;

Overwegende dat de Lid-Staten een termijn van niet langer dan drie jaar dient te worden geboden, te rekenen vanaf de datum van inwerkingtreding van de nationale maatregelen waarbij deze richtlijn in nationaal recht wordt omgezet, om hen in de gelegenheid te stellen op alle reeds lopende gegevensverwerkingen geleidelijk de bovenbedoelde nieuwe nationale voorschriften toe te passen; dat de Lid-Staten, om een hoge kosteneffectiviteit bij de tenuitvoerlegging van deze bepalingen mogelijk te maken, mogen voorzien in een aanvullende periode, die twaalf jaar na de datum van aanneming van deze richtlijn verstrijkt, om manuele bestanden die op die datum bestaan met sommige bepalingen van deze richtljn in overeenstemming te brengen; dat wanneer gegevens in dergelijke bestanden gedurende deze aanvullende overgangsperiode daadwerkelijk handmatig worden verwerkt, de bestanden op het moment van de uitvoering van de verwerking met deze bepalingen in overeenstemming moeten worden gebracht;

Overwegende dat er geen aanleiding toe is dat de betrokkene de voor de verwerking verantwoordelijke opnieuw toestemming geeft om na de inwerkingtreding van de nationale bepalingen die op grond van deze richtlijn zijn vastgesteld een verwerking van gevoelige gegevens te blijven uitvoeren die nodig is voor de uitvoering van een overeenkomst die op basis van vrije en geïnformeerde toestemming is gesloten vóór de inwerkingtreding van voornoemde bepalingen;

Overwegende dat deze richtlijn een Lid-Staat niet belet direct marketing met betrekking tot de op zijn grondgebied verblijf houdende consumenten aan een regeling te onderwerpen, mits deze de bescherming van personen in verband met de verwerking van persoonsgegevens onverlet laat;

Overwegende dat de richtlijn de mogelijkheid biedt om bij de tenuitvoerlegging van de in de richtlijn vastgelegde beginselen rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

HOOFDSTUK I ALGEMENE BEPALINGEN

Artikel 1

Onderwerp van de richtlijn

1. De Lid-Staten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.

2. De Lid-Staten mogen het vrije verkeer van persoonsgegevens tussen Lid-Staten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.

Artikel 2

Definities

In de zin van deze richtlijn wordt verstaan onder:

a) "persoonsgegevens", alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;

b) "verwerking van persoonsgegevens", hierna "verwerking" te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, uitwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen ven gegevens;

c) "bestand van persoonsgegevens", hierna "bestand" te noemen, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

d) "voor de verwerking verantwoordelijke", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij nationale of communautaire wettelijke of bestuursrechtelijke bepalingen, kan in het nationale of communautaire recht worden bepaald wie de voor de verwerking verantwoordelijke is, of volgens welke criteria deze wordt aangewezen;

e) "verwerker", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

f) "derde", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;

g) "ontvanger", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam aan wie, respectievelijk waaraan de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; instanties waaraan gegevens kunnen worden meegedeeld in het kader van een bijzondere onderzoeksopdracht, worden evenwel niet beschouwd als ontvangers;

h) "toestemming van de betrokkene", elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem of haar betreffende persoonsgegevens worden verwerkt.

Artikel 3

Werkingssfeer

1. De bepalingen van deze richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in bestanden zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

2. De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:

- die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de Staat, waaronder de economie van de Staat en de activiteiten van de Staat op strafrechtelijk gebied;

- die door een natuurlijk persoon voor activiteiten uitsluitend voor persoonlijke of huishoudelijke doeleinden wordt verricht.

Artikel 4

Toepasselijk nationaal recht

1. Elke Lid-Staat past zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op elke verwerking van persoonsgegevens:

a) die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de Lid-Staat van de voor de verwerking verantwoordelijke. Wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene Lid-Staten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving;

b) waarvan de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de Lid-Staat, maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is;

c) waarvan de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

2. In de in lid 1, onder c), bedoelde omstandigheden moet de voor de verwerking verantwoordelijke een op het grondgebied van de betrokken Lid-Staat gevestigde vertegenwoordiger aanwijzen, onverminderd rechtsvorderingen die tegen de voor de verwerking verantwoordelijke zelf kunnen worden ingesteld.

HOOFDSTUK II ALGEMENE VOORWAARDEN VOOR DE RECHTMATIGHEID VAN DE VERWERKINGEN VAN PERSOONSGEGEVENS

Artikel 5

De Lid-Staten bepalen binnen de grenzen van de bepalingen van dit hoofdstuk nader de voorwaarden waaronder de verwerkingen van persoonsgegevens rechtmatig zijn.

Afdeling I Beginselen betreffende de kwaliteit van de gegevens

Artikel 6

1. De Lid-Staten bepalen dat de persoonsgegevens:

a) op eerlijke en rechtmatige wijze moeten worden verwerkt;

b) voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lid-Staten passende garanties bieden;

c) toereikend, ter zake dienend en niet overmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;

d) nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren;

e) in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens verwerkt, noodzakelijk is. De Lid-Staten voorzien in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald, voor historische, statistische of wetenschappelijke doeleinden worden bewaard.

2. Op de voor de verwerking verantwoordelijke rust de plicht om voor de naleving van het bepaalde in lid 1 zorg te dragen.

Afdeling II Beginselen betreffende de grondslagen voor de gegevensverwerking

Artikel 7

De Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:

a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of

b) deze verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of van precontractuele stappen die worden genomen naar aanleiding van een verzoek van betrokkene, of

c) deze verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of

d) deze verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of

e) deze verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag waarvan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, drager is, of

f) deze verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet doorslaggevend zijn.

Afdeling III Bijzondere categorieën verwerkingen

Artikel 8

Verwerkingen die bijzondere categorieën gegevens betreffen

1. De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het aangesloten zijn bij een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.

2. Lid 1 is niet van toepassing wanneer:

a) de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de Lid-Staat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt, of

b) de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de rechten van de voor de verwerking verantwoordelijke inzake arbeidsrecht, voor zover zulks is toegestaan bij de nationale wetgeving en deze adequate garanties biedt, of

c) de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien deze lichamelijk of juridisch niet in staat is van zijn instemming te getuigen, of

d) de verwerking wordt verricht door een stichting, een vereniging, of enige andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van hun gerechtvaardigde activiteiten en met de nodige garanties, mits de verwerking uitsluitend betrekking heeft op de leden van de stichting, de vereniging of de instantie of op de personen die uit hoofde van haar doelstelling regelmatige contacten met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden worden doorgegeven, of

e) de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.

3. Lid 1 is niet van toepassing wanneer de verwerking van de daarin genoemde gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, met inbegrip van de door nationale bevoegde instanties vastgestelde regels, vastgelegd beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt.

4. Mits passende waarborgen worden geboden mogen de Lid-Staten, om redenen van zwaarwegend algemeen belang bij nationale wet of bij een besluit van de toezichthoudende autoriteit nog andere afwijkingen naast die bedoeld in lid 2 vaststellen.

5. Verwerkingen van gegevens inzake overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen mogen alleen worden verricht onder toezicht van de overheid of indien de nationale wetgeving voorziet in passende specifieke waarborgen, behoudens afwijkingen die een Lid-Staat kan vaststellen uit hoofde van nationale bepalingen welke passende en specifieke waarborgen bieden. Een volledig register van strafrechtelijke veroordelingen mag alleen worden gehouden onder toezicht van de overheid.

De Lid-Staten kunnen voorschrijven dat ook verwerkingen van gegevens inzake administratieve sancties of burgerrechtelijke beslissingen onder toezicht van de overheid kunnen worden verricht.

6. De in de lid 4 bedoelde afwijkingen van lid 1 en de afwijkingen van lid 5 worden ter kennis van de Commissie gebracht.

7. De Lid-Staten stellen de voorwaarden vast waaronder een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard voor verwerkingsdoeleinden mag worden gebruikt.

Artikel 9

Verwerkingen van persoonsgegevens en vrijheid van meningsuiting

De Lid-Staten voorzien, voor de verwerkingen van persoonsgegevens voor uitsluitend journalistieke, of voor artistieke of literaire doeleinden, in de uitzonderingen op en afwijkingen van de bepalingen van dit hoofdstuk en van de hoofdstukken IV en VI die nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting.

Afdeling IV Informatieverstrekking aan de betrokkene

Artikel 10

Informatieverstrekking in geval van verkrijging van gegevens bij de betrokkene

De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of diens vertegenwoordiger aan degene bij wie hem betreffende gegevens worden verkregen, tenminste de hierna volgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is:

a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger,

b) de doeleinden van de verwerking waarvoor de gegevens zijn bestemd,

c) verdere informatie zoals

- de ontvangers of de categorieën ontvangers van de gegevens;

- of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van niet-beantwoording,

- het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,

voor zover die, met inachtneming van de specifieke omstandigheden waaronder de gegevens verkregen worden, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.

Artikel 11

Informatieverstrekking aan de betrokkene wanneer de gegevens niet bij de betrokkene zijn verkregen

1. De Lid-Staten bepalen dat, wanneer de gegevens niet bij de betrokkenen zijn verkregen, de voor de verwerking verantwoordelijke of diens vertegenwoordiger, op het moment van registratie van de gegevens of wanneer verstrekking van de gegevens aan een derde wordt overwogen, aan de betrokkene uiterlijk op het moment van de eerste verstrekking van de gegevens ten minste de volgende informatie moet verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is;

a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger,

b) de doeleinden van de verwerking,

c) alle verdere informatie zoals:

- de betrokken gegevenscategorieën;

- de ontvangers of de categorieën ontvangers;

- het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,

voor zover die, met inachtneming van de specifieke omstandigheden waaronder de gegevens verzameld worden, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.

2. Het bepaalde in lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, verstrekking van informatie onmogelijk blijkt of onevenredig veel moeite kost of indien de registratie of verstrekking bij wet is voorgeschreven. In deze gevallen zorgen de Lid-Staten voor passende waarborgen.

Afdeling V Recht van de betrokkene op toegang tot de gegevens

Artikel 12

Recht van toegang

De Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen:

1. vrijelijk en zonder beperking, met redelijke tussenpozen en zonder overmatige vertraging of kosten:

- uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende gegevens, alsmede tenminste over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben, de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;

- de verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens;

- de mededeling van de redeneringen die zijn gevolgd bij automatische verwerkingen van hem betreffende gegevens, ten minste in het geval van de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1;

2. naar gelang van het geval de rectificatie, de uitwisseling of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze richtlijn, met name in verband met het onvolledige of onjuiste karakter van de gegevens;

3. de kennisgeving aan derden aan wie de gegevens zijn verstrekt, van elke rectificatie, uitwisseling of afscherming, uitgevoerd overeenkomstig punt 2, tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost.

Afdeling VI Uitzonderingen en beperkingen

Artikel 13

Uitzonderingen en beperkingen

1. De Lid-Staten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 6, lid 1, 10, 11, lid 1, 12 en 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van

a) de veiligheid van de Staat;

b) de landsverdediging;

c) de openbare veiligheid;

d) de preventie, het onderzoeken, opsporen en vervolgen van strafbare feiten of, voor gereglementeerde beroepen, niet-naleving van de ethiek;

e) een belangrijk economisch en financieel belang van een Lid-Staat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;

f) een taak op het gebied van controle, inspectie en het treffen van maatregelen, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar, gezag in de onder c), d), en e), bedoelde gevallen;

g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

2. Mits er passende wettelijke garanties worden geboden, met name dat de gegevens niet zullen worden gebruikt om maatregelen of besluiten te treffen ten aanzien van een individuele betrokkene, kunnen de Lid-Staten, ingeval er duidelijk geen gevaar bestaat dat inbreuk wordt gepleegd op de persoonlijke levenssfeer van de betrokkene, de in artikel 12 bedoelde rechten beperken wanneer de gegevens uitsluitend met het oog op wetenschappelijk onderzoek verwerkt worden of slechts gedurende de periode die nodig is voor het opstellen van statistieken in de vorm van persoonlijke gegevens worden bewaard.

Afdeling VII Recht van verzet van de betrokkene

Artikel 14

Recht van verzet van de betrokkene

De Lid-Staten kennen de betrokkene het recht toe:

a) zich ten minste in de gevallen, bedoeld in artikel 7, onder e) en f), te allen tijde om gewichtige gerechtvaardigde redenen die verband houden met zijn bijzondere situatie ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. In geval van gerechtvaardigd verzet mag de door de voor de verwerking verantwoordelijke persoon verrichte verwerking niet langer op deze gegevens betrekking hebben;

b) zich op verzoek en kosteloos te verzetten tegen de door de verantwoordelijke persoon met het oog op direct marketing overwogen verwerking van hem betreffende persoonsgegevens, of

te worden ingelicht voordat persoonsgegevens voor de eerste keer aan derden worden verstrekt voor direct marketing of voor rekening van derden voor dezelfde doeleinden worden gebruikt, en het recht om zich kosteloos tegen deze verstrekking van gegevens of dit gebruik te verzetten, uitdrukkelijk ter kennis gebracht te krijgen.

De Lid-Staten nemen de nodige maatregelen om te waarborgen dat de betrokkenen kennis hebben van het bestaan van het in de eeste alinea van b) bedoelde recht.

Artikel 15

Geautomatiseerde individuele besluiten

1. De Lid-Staten kennen eenieder het recht toe niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren.

2. Onverminderd het bepaalde in de overige artikelen van deze richtlijn bepalen de Lid-Staten dat een persoon aan een besluit als bedoeld in lid 1 kan worden onderworpen, indien dat besluit:

a) wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst, mits aan het verzoek van de betrokkene is voldaan of passende maatregelen, zoals de mogelijkheid zijn standpunt te doen gelden, zijn genomen ter bescherming van zijn gerechtvaardigde belang; of

b) zijn grondslag vindt in een wet waarin de tot bescherming van het gerechtvaardigde belang van de betrokkene strekkende maatregelen zijn omschreven.

Afdeling VIII Vertrouwelijkheid en beveiliging van de verwerkingen

Artikel 16

Vertrouwelijkheid en beveiliging van de verwerkingen

Eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de voor de verwerking verantwoordelijke verwerken, behoudens op grond van wettelijke verplichtingen.

Artikel 17

Beveiliging van de verwerkingen

1. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen toevallig verlies, vervalsing, niet toegelaten verspreiding of toegang, met name wanneer de verwerking betrekking heeft op de doorzending van gegevens in een netwerk, dan wel tegen enige andere vorm van onwettige verwerking.

Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen.

2. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en moet toezien op de naleving van die maatregelen.

3. De uitvoering van verwerkingen door een verwerker moet worden geregeld in een overeenkomst of een rechtsakte die de verwerker bindt jegens de voor de verwerker verantwoordelijke en waarin met name wordt bepaald dat

- de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke,

- de in lid 1 bedoelde verplichtingen, zoals gedefinieerd door de wetgeving van de Lid-Staat waarin de verwerker is gevestigd, eveneens op deze persoon rusten.

4. Met het oog op de bewaring van de bewijzen worden de elementen van de overeenkomst of rechtsakte betreffende de bescherming van de gegevens en de vereisten inzake de in lid 1 bedoelde maatregelen schriftelijk of in een gelijkwaardige vorm vastgelegd.

Afdeling IX Aanmelding

Artikel 18

Verplichting tot aanmelding bij de toezichthoudende autoriteit

1. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of, in voorkomend geval, diens vertegenwoordiger, bij de in artikel 28 bedoelde toezichthoudende autoriteit aanmelding dient te doen voordat wordt overgegaan tot een of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn.

2. De Lid-Staten kunnen alleen in de volgende gevallen en onder de volgende voorwaarden voorzien in vereenvoudigde aanmelding of vrijstelling van deze verplichting tot aanmelding:

- wanneer zij voor de categorieën verwerkingen waarbij, rekening houdend met de verwerkte gegevens, inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is, preciseren: de doeleinden van de verwerking, de verwerkte gegevens of categorieën verwerkte gegevens, de categorie(ën) betrokkenen, de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt, en de periode gedurende welke de gegevens worden bewaard en/of

- wanneer de voor de verwerking verantwoordelijken, overeenkomstig het nationale recht waaraan zij onderworpen zijn, een functionaris voor de gegevensbescherming aanwijzen die met name

- op onafhankelijke wijze toezicht uitoefent op de toepassing binnen de organisatie van de krachtens deze richtlijn getroffen nationale maatregelen

- een register bijhoudt van de in deze organisatie of door haar leden verrichte verwerkingen, waarin de in artikel 21, lid 2, bedoelde gegevens opgenomen zijn,

en zorgen ervoor dat inbreuk op de rechten en vrijheden van de betrokkenen door de verwerkingen onwaarschijnlijk is.

3. De Lid-Staten kunnen bepalen dat lid 1 niet van toepassing is op verwerkingen die alleen tot doel hebben een register te houden dat volgens de wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd.

4. De Lid-Staten kunnen voor de in artikel 8, lid 2, onder d), bedoelde verwerkingen voorzien in afwijking van de aanmeldingsplicht of in vereenvoudigde aanmelding.

5. De Lid-Staten kunnen bepalen dat sommige of alle niet-geautomatiseerde verwerkingen van persoonsgegevens aangemeld moeten worden, eventueel in vereenvoudigde vorm.

Artikel 19

Inhoud van de aanmelding

1. De Lid-Staten bepalen welke inlichtingen in de aanmelding moeten worden opgenomen. Deze inlichtingen behelzen ten minste:

a) de naam en het adres van de voor verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger;

b) het (de) doeleinde(n) van de verwerking;

c) een beschrijving van de categorie(ën) betrokkenen en van de gegevens of categorieën gegevens die daarop betrekking hebben;

d) de ontvangers of categorieën ontvangers aan wie de gegevens kunnen worden verstrekt;

e) de voorgenomen overdrachten van gegevens aan derde landen;

f) een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de genomen maatregelen om, ter toepassing van artikel 17, de beveiliging van de verwerking te waarborgen.

2. De Lid-Staten preciseren volgens welke procedures wijzigingen ten opzichte van de in lid 1 bedoelde inlichtingen bij de toezichthoudende autoriteit moeten worden aangemeld.

Artikel 20

Voorafgaand onderzoek

1. De Lid-Staten geven aan welke verwerkingen mogelijk specifieke risico's voor de persoonlijke rechten en vrijheden inhouden, en dragen er zorg voor dat zij vóór de aanvang van de verwerking onderzocht worden.

2. Deze voorafgaande onderzoeken worden uitgevoerd door de toezichthoudende autoriteit na ontvangst van een aanmelding van de voor de verwerking verantwoordelijke, of door de functionaris voor de gegevensbescherming, die in twijfelgevallen de toezichthoudende autoriteit moet raadplegen.

3. De Lid-Staten kunnen een dergelijk onderzoek ook uitvoeren in het kader van de voorbereiding van een maatregel die wordt aangenomen door het nationale parlement of die berust op een dergelijk besluit, waarbij de aard van de verwerking wordt omschreven en passende waarborgen worden vastgesteld.

Artikel 21

Openbaarheid van de verwerkingen

1. De Lid-Staten nemen maatregelen om te zorgen voor de openbaarheid van de verwerkingen.

2. De Lid-Staten bepalen dat de toezichthoudende autoriteit een register van de uit hoofde van artikel 18 aangemelde verwerkingen houdt.

Het register bevat ten minste de in artikel 19, lid 1, onder a) tot en met e), bedoelde inlichtingen.

Het register kan door eenieder worden geraadpleegd.

3. De Lid-Staten dragen er zorg voor, met betrekking tot de van aanmelding vrijgestelde verwerkingen, dat de voor de verwerking verantwoordelijken of een andere, door de Lid-Staten aangewezen instantie, ten minste de inlichtingen als bedoeld in artikel 19, lid 1, onder a) tot en met e), op passende wijze verstrekken aan eenieder die daarom verzoekt.

De Lid-Staten kunnen stipuleren dat deze bepaling niet van toepassing is op verwerkingen die alleen tot doel hebben een register te houden dat volgens de wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor de lichten en dat door eenieder dan wel door ieder persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd.

HOOFDSTUK III BEROEP OP DE RECHTER, AANSPRAKELIJKHEID EN SANCTIES

Artikel 22

Beroep

Onverminderd de administratieve voorziening die met name bij de in artikel 28 bedoelde toezichthoudende autoriteit kan worden getroffen voordat de zaak aanhangig wordt gemaakt voor de rechter, bepalen de Lid-Staten dat eenieder zich tot de rechter kan wenden wanneer de rechten die hem worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht, geschonden worden.

Artikel 23

Aansprakelijkheid

1. De Lid-Staten bepalen dat eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen.

2. De voor de verwerking verantwoordelijke kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Artikel 24

Sancties

De Lid-Staten nemen passende maatregelen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen en stellen met name de sancties vast die gelden bij inbreuk op de ter uitvoering van deze richtlijn vastgestelde bepalingen.

HOOFDSTUK IV DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN

Artikel 25

Beginselen

1. De Lid-Staten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na hun doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, dat land een passend beschermingsniveau waarborgt.

2. Het passende karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde of de doeleinden en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de regels van het beroepsleven en de veiligheidsmaatregelen die in die landen worden nageleefd.

3. De Lid-Staten en de Commissie brengen elkaar op de hoogte van de gevallen waarin, naar hun oordeel, een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt.

4. Wanneer de Commissie volgens de procedure van artikel 31, lid 2, constateert dat een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt, nemen de Lid-Staten de nodige maatregelen om doorgifte van gegevens van dezelfde aard naar het betrokken land te voorkomen.

5. De Commissie opent op het gepaste ogenblik onderhandelingen ter verhelping van de situatie die voortvloeit uit in de lid 4 bedoelde constatering.

6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, gezien zijn nationale wetgeving of zijn internationale verbintenissen, met name na de in lid 5 bedoelde onderhandelingen, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen.

De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.

Artikel 26

Afwijkingen

1. In afwijking van artikel 25, en behoudens andersluidende bepalingen van hun nationale recht betreffende specifieke gevallen, bepalen de Lid-Staten dat een doorgifte of categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, kan plaatsvinden mits:

1. de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven, of

2. de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke, of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, of

3. de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst, of

4. de doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of

5. de doorgifte noodzakelijk is ter vrijwaring van het vitale belang van de betrokkene, of

6. de doorgifte geschiedt vanuit een register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging.

2. Onverminderd lid 1 kan een Lid-Staat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.

3. De Lid-Staat stelt de Commissie en de overige Lid-Staten in kennis van de toestemmingen die hij op grond van lid 2 verleent.

Indien een andere Lid-Staat of de Commissie verzet aantekent, met redenen omkleed ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, stelt de Commissie passende maatregelen vast volgens de procedure van artikel 31, lid 2.

De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.

4. Wanneer de Commissie volgens de in artikel 31, lid 2, bedoelde procedure besluit dat bepaalde modelcontractbepalingen voldoende waarborgen bieden in de zin van lid 2, nemen de Lid-Staten de nodige maatregelen om zich naar het besluit van de Commissie te voegen.

HOOFDSTUK V GEDRAGSCODES

Artikel 27

1. De Lid-Staten en de Commissie moedigen de opstelling aan van gedragscodes, die bestemd zijn om naar gelang van de specifieke kenmerken van de sectoren bij te dragen tot een goede toepassing van ter uitvoering van deze richtlijn door de Lid-Staten vastgestelde nationale bepalingen.

2. De Lid-Staten bepalen dat beroepsverenigingen en andere vertegenwoordigingsorganen van andere categorieën van voor de verwerking verantwoordelijken die ontwerpen van nationale gedragscodes hebben opgesteld, of voornemens zijn bestaande nationale codes te wijzigen of te verlengen, deze voor advies aan de nationale autoriteit kunnen voorleggen.

De Lid-Staten bepalen dat deze autoriteit zich er inzonderheid van vergewist dat de haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze richtlijn vastgestelde nationale voorschriften. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst.

3. De ontwerpen van communautaire codes, alsmede wijzigingen of verlengingen van bestaande communautaire codes, kunnen aan de in artikel 29 bedoelde groep worden voorgelegd. Deze spreekt er zich met name over uit of de haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst. De Commissie kan zorg dragen voor een passende bekendmaking van de gedragscodes waarover de groep een gunstig advies heeft uitgebracht.

HOOFDSTUK VI TOEZICHTHOUDENDE AUTORITEIT EN GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS

Artikel 28

Toezichthoudende autoriteit

1. Elke Lid-Staat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de Lid-Staten vastgestelde bepalingen.

Deze autoriteiten vervullen de hun opgelegde taken in alle onafhankelijkheid.

2. Elke Lid-Staat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen, in verband met de verwerking van persoonsgegevens.

3. Elke toezichthoudende autoriteit beschikt met name over:

- onderzoeksbevoegdheden zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

- effectieve bevoegdheden om in te grijpen, zoals bij voorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen, of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden, of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen;

- de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.

Tegen beslissingen van de toezichthoudende autoriteit kan bij de rechter beroep worden aangetekend.

4. Eenieder kan in eigen persoon of door middel van een vereniging die als zijn vertegenwoordiger optreedt, bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld.

Eenieder kan meer bepaald bij elke autoriteit een verzoek indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 vastgestelde nationale bepalingen van toepassing zijn. Hij wordt in ieder geval in kennis gesteld van het feit dat een verificatie heeft plaatsgevonden.

5. Elke toezichthoudende autoriteit stelt op gezette tijden een verslag op over haar activiteiten. Dit verslag wordt gepubliceerd.

6. Elke toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, op het grondgebied van haar eigen Lid-Staat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen. Elke autoriteit kan door een autoriteit van een andere Lid-Staat worden verzocht haar bevoegdheden uit te oefenen.

De toezichthoudende autoriteiten werken onderling samen voor zover zulks noodzakelijk is voor de uitvoering van hun taken, met name door de uitwisseling van alle nuttige inlichtingen.

7. De Lid-Staten bepalen dat de leden en personeelsleden van de toezichthoudende autoriteit ook na beëindiging van hun werkzaamheden aan het beroepsgeheim zijn onderworpen voor wat betreft de vertrouwelijke gegevens waartoe zij toegang hebben.

Artikel 29

Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens

1. Er wordt een groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens ingesteld, hierna "de groep" te noemen.

De groep is onafhankelijk en is van raadgevende aard.

2. De groep bestaat uit een vertegenwoordiger van de door iedere Lid-Staat aangewezen toezichthoudende autoriteit(en), een vertegenwoordiger van de voor de communautaire instellingen en organen opgerichte autoriteit(en) en een vertegenwoordiger van de Commissie.

Elk lid van de groep wordt aangewezen door de instelling of de autoriteit(en) die hij vertegenwoordigt. Wanneer een Lid-Staat verscheidene toezichthoudende autoriteiten heeft aangewezen, benoemen deze een gemeenschappelijke vertegenwoordiger. Dat geldt ook voor de voor de communautaire instellingen en organen opgerichte autoriteiten.

3. De groep neemt haar besluiten met een gewone meerderheid van stemmen van de vertegenwoordigers van de toezichthoudende autoriteiten.

4. De groep kiest een voorzitter. De ambtstermijn van de voorzitter bedraagt twee jaar; deze termijn kan worden verlengd.

5. De Commissie is belast met het secretariaat van de groep.

6. De groep stelt haar reglement van orde vast.

7. De groep behandelt alle aangelegenheden die door de voorzitter hetzij op diens initiatief, hetzij op verzoek van een vertegenwoordiger van de toezichthoudende autoriteiten, hetzij op verzoek van de Commissie op de agenda worden geplaatst.

Artikel 30

1. De groep heeft tot taak:

a) elke kwestie betreffende de toepassing van de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen te bestuderen, teneinde bij te dragen tot een homogene toepassing daarvan;

b) de Commissie van advies te dienen over het beschermingsniveau in de Gemeenschap en in derde landen;

c) de Commissie te adviseren over de ontwerpen tot wijziging van deze richtlijn, de ontwerpen van aanvullende of specifieke maatregelen die met het oog op de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens dienen te worden genomen, alsmede over elk ander ontwerp van communautaire maatregelen die voor die rechten en vrijheden gevolgen hebben;

d) advies uit te brengen over de op communautair niveau opgestelde gedragscodes.

2. Wanneer de groep vaststelt dat er tussen de wetgeving of de praktijk van de Lid-Staten discrepanties ontstaan waardoor aan de gelijkwaardigheid van de bescherming van personen in verband met de verwerking van persoonsgegevens in de Gemeenschap afbreuk zou kunnen worden gedaan, brengt zij de Commissie daarvan op de hoogte.

3. De groep kan uit eigen beweging aanbevelingen doen over elke aangelegenheid die met de bescherming van personen met betrekking tot de verwerking van persoonsgegevens in de Gemeenschap verband houdt.

4. De adviezen en aanbevelingen van de groep worden aan de Commissie en aan het in artikel 31 bedoelde comité toegezonden.

5. De Commissie deelt de groep mee welk gevolg zij aan de adviezen en aanbevelingen heeft gegeven. Zij stelt daartoe een verslag op, dat eveneens aan het Europees Parlement en aan de Raad wordt toegezonden. Het verslag wordt gepubliceerd.

6. De groep stelt jaarlijks een verslag op over de stand van zaken met betrekking tot de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens in de Gemeenschap en in derde landen. Zij legt dit verslag voor aan de Commissie, aan het Europees Parlement en aan de Raad. Het verslag wordt gepubliceerd.

HOOFDSTUK VII COMMUNAUTAIRE UITVOERINGSMAATREGELEN

Artikel 31

Het comité

1. De Commissie wordt bijgestaan door een comité bestaande uit vertegenwoordigers van de Lid-Staten en voorgezeten door de vertegenwoordiger van de Commissie.

2. De vertegenwoordiger van de Commissie legt het comité een ontwerp voor van de te nemen maatregelen. Het comité brengt advies uit over dit ontwerp binnen een termijn die de voorzitter kan vaststellen naar gelang van de urgentie van de materie.

Het comité spreekt zich uit met de meerderheid van stemmen die in artikel 148, lid 2, van het Verdrag is voorgeschreven. Bij de stemming in het comité worden de stemmen van de vertegenwoordigers van de Lid-Staten gewogen overeenkomstig genoemd artikel. De voorzitter neemt niet aan de stemming deel.

De Commissie stelt de beoogde maatregelen vast wanneer zij in overeenstemming zijn met het advies van het comité.

Wanneer de beoogde maatregelen niet in overeenstemming zijn met het advies van het comité, of indien geen advies is uitgebracht, dient de Commissie onverwijld bij de Raad een voorstel in betreffende de te nemen maatregelen. De Raad besluit met gekwalificeerde meerderheid van stemmen.

Indien de Raad na verloop van een termijn van drie maanden na de indiening van het voorstel bij de Raad geen besluit heeft genomen, worden de voorgestelde maatregelen door de Commissie vastgesteld.

SLOTBEPALINGEN

Artikel 32

1. De Lid-Staten doen de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om uiterlijk aan het einde van een termijn van drie jaar te rekenen vanaf de aanneming van deze richtlijn, aan deze richtlijn te voldoen.

Wanneer de Lid-Staten deze bepalingen aannemen, wordt in die bepalingen naar de onderhavige richtlijn verwezen of wordt hiernaar verwezen bij de officiële bekendmaking van die bepalingen. De regels voor deze verwijzing worden vastgesteld door de Lid-Staten.

2. De Lid-Staten dragen er zorg voor dat verwerking die reeds bezig is op de datum waarop de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen in werking treden, binnen een termijn van drie jaar te rekenen vanaf die datum wordt aangepast aan die bepalingen.

In afwijking van de eerste alinea kunnen de Lid-Staten bepalen dat de verwerking van gegevens die op de datum van inwerkingtreding van de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen reeds in niet-geautomatiseerde bestanden voorkwamen, aan de artikelen 6, 7 en 8 worden aangepast binnen een termijn van twaalf jaar, te rekenen vanaf de datum van aanneming van deze richtlijn. De Lid-Staten garanderen de betrokkenen evenwel het recht om desgevraagd en inzonderheid wanneer zij hun recht op toegang uitoefenen, gegevens die onvolledig of onjuist zijn dan wel opgeslagen zijn op een wijze die onverenigbaar is met de gerechtvaardigde doeleinden van de voor de verwerking verantwoordelijke, te laten corrigeren, wissen of blokkeren.

3. In afwijking van lid 2 kunnen de Lid-Staten, behoudens passende waarborgen, bepalen dat gegevens die alleen voor historisch onderzoek worden opgeslagen, niet worden aangepast aan de artikelen 6, 7 en 8.

4. De Lid-Staten delen de Commissie de tekst van de bepalingen van intern recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 33

De Commissie brengt op gezette tijden, en voor het eerst uiterlijk drie jaar na de in artikel 32, lid 1, genoemde datum, aan de Raad en het Europees Parlement verslag uit over de toepassing van deze richtlijn, in voorkomend geval onder bijvoeging van passende wijzigingsvoorstellen. Dit verslag wordt gepubliceerd.

De Commissie zal met name de toepassing van deze richtlijn op verwerkingen van geluid- en beeldgegevens betreffende natuurlijke personen bestuderen en de passende voorstellen doen die in het licht van de ontwikkelingen van de informatietechnologie en de activiteiten in verband met de informatiemaatschappij nodig kunnen blijken.

Artikel 34

Deze richtlijn is gericht tot de Lid-Staten.

Gedaan te . . .

Voor het Europees Parlement

De Voorzitter

Voor de Raad

De Voorzitter

(1) PB nr. C 277 van 5. 11. 1990, blz. 3, en PB nr. C 311 van 27. 11. 1992, blz. 30.

(2) PB nr. C 159 van 17. 6. 1991, blz. 38.

(3) Advies van het Europees Parlement van . . . (nog niet in het Publikatieblad verschenen), gemeenschappelijk standpunt van de Raad van 20 februari 1995 en besluit van het Europees Parlement van . . . (nog niet in het Publikatieblad verschenen).

(4) PB nr. L 197 van 18. 7. 1987, blz. 33.

MOTIVERING VAN DE RAAD

I. Inleiding

Op 18 juli 1990 heeft de Commissie een voorstel ingediend voor een richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens; dit voorstel was gebaseerd op de artikelen 100 A en 113 van het Verdrag.

Het Europees Parlement heeft op 11 maart 1992 in eerste lezing zijn advies uitgebracht, waarbij het een groot aantal wijzigingen in het Commissievoorstel heeft voorgesteld.

Het Economisch en Sociaal Comité heeft op 24 april 1991 zijn advies uitgebracht.

In het licht van deze adviezen heeft de Commissie op 15 oktober 1992 een gewijzigd richtlijnvoorstel ingediend.

Op 20 februari 1995 heeft de Raad overeenkomstig artikel 189 B, lid 2, van het Verdrag zijn gemeenschappelijk standpunt vastgesteld.

II. Doel

Dit voorstel voor een richtlijn is onderdeel van het duidelijke en stabiele juridische kader dat onmisbaar is voor de ontwikkeling van de informatiemaatschappij op een wijze die voor de Europese burger aanvaardbaar is.

Meer bepaald wordt beoogd het vrije verkeer van persoonsgegevens binnen de Gemeenschap te waarborgen en concurrentieverstoringen en het daarmee samenhangende gevaar van verplaatsingen op te heffen door in alle Lid-Staten een gelijkwaardige bescherming van hoog niveau van natuurlijke personen te bieden met betrekking tot de verwerking van die gegevens.

Dit hoge beschermingsniveau wordt enerzijds gewaarborgd door de verplichtingen voor de personen, overheidsinstanties, ondernemingen of verenigingen die voor de verwerkingen verantwoordelijk zijn, anderzijds door de rechten die worden verleend aan de natuurlijke personen wier gegevens worden verwerkt.

De verplichtingen van de verantwoordelijken hebben in het bijzonder betrekking op de kwaliteit van de gegevens waarvan het gebruik een bepaald gewettigd belang moet dienen met betrekking tot de gegrondheid van de verwerkingen; die gegrondheid kan gebaseerd zijn op de toestemming van de betrokkenen, de technische veiligheid om ongeoorloofde toegang tot de bestanden te voorkomen, kennisgeving van de verwerkingen aan de nationale toezichthoudende autoriteit.

De aan de natuurlijke personen verleende rechten omvatten het recht om in verschillende omstandigheden in kennis te worden gesteld van verwerkingen van hen betreffende gegevens, het recht op toegang tot deze gegevens, om te vragen om rechtzetting indien zij onjuist blijken te zijn en zelfs het recht om zich tegen de verwerking te verzetten.

III. Analyse van het gemeenschappelijk standpunt

A. Algemene opmerkingen

In het gemeenschappelijk standpunt wordt in ruime mate rekening gehouden met de door het Europees Parlement in eerste lezing naar voren gebrachte bezwaren.

Met name is een belangrijke, door het Europees Parlement voorgestelde wijziging overgenomen betreffende het loslaten van het formele onderscheid tussen de regels die van toepassing zijn voor de overheidssector en die welke gelden voor de particuliere sector. Dit heeft geleid tot een volledige omwerking van de tekst (amendementen nrs. 7 tot en met 29, 39 tot en met 41, 118 en 119).

Ook is in het gemeenschappelijk standpunt het idee van het Parlement overgenomen om voor de toepassing van de bescherming uit te gaan van een ruim concept dat de verschillende vormen van gebruik van gegevens omvat. Daartoe is gekozen voor het begrip verwerking. Het begrip bestand wordt voortaan uitsluitend gebruikt voor niet-geautomatiseerde gegevens. Het Europees Parlement was namelijk van mening dat het begrip bestand verouderd is, en niet relevant in het kader van de ontwikkeling van informatica en telecommunicatie.

Voorts vormen vele wijzigingen nuttige redactionele preciseringen of vereenvoudigingen, of zorgen deze voor flexibiliteit die, met handhaving van een gelijkwaardig beschermingsniveau in de Lid-Staten, niet mogen leiden tot verlaging van het beschermingsniveau, aangezien zij een doeltreffende en niet-bureaucratische toepassing mogelijk maken van de algemene beginselen, met inachtneming van de zeer grote verscheidenheid van de specifieke kenmerken van de verwerkingen van persoonsgegevens.

Ten slotte zij erop gewezen dat de Raad en de Commissie artikel 100 A als rechtsgrond voor de richtlijn toereikend achten en daarom artikel 113, dat de Commissie in haar gewijzigd voorstel tevens als rechtsgrond had voorgesteld, hebben geschrapt. De Raad was namelijk van mening dat de artikelen 25 en 26, die betrekking hebben op de doorgifte van persoonsgegevens naar derde landen, op zichzelf geen handelspolitiek doel beoogt. Zij moeten meer gezien worden als een logisch gevolg van de andere artikelen van de richtlijn waarvan zij niet los gezien kunnen worden; zij moeten zorgen voor een zekere "waterdichtheid" van het systeem door elke vorm van laksheid inzake de doorgifte van gegevens naar derde landen te verhinderen.

B. Specifieke opmerkingen

1. In het gemeenschappelijk standpunt overgenomen amendementen van het Europees Parlement

i) Definities (artikel 2)

De fase van het verzamelen van de gegevens alsmede de verschillende vormen van mededeling van gegevens zijn in de definitie van "verwerking" opgenomen (amendementen nrs. 10, 15, 16 en 34).

De definitie van "persoonsgegevens" werd verscherpt (amendement nr. 12).

De definities van "derde" en "verwerker" werden ingevoegd (amendementen nrs. 18 en 134).

ii) Beginselen betreffende de kwaliteit van de gegevens (artikel 6)

De afwijking van het beginsel van de maximumduur voor het bewaren van gegevens uitgaande van de doeleinden van de verwerking werd opgenomen voor de gegevens die worden bewaard voor historische, statistische of wetenschappelijke doeleinden (amendement nr. 60).

Het doel van het verzamelen moet bekend zijn alvorens met het verzamelen wordt gestart (amendement nr. 59).

iii) Bijzondere categorieën verwerkingen (artikel 8)

Verwerking van persoonsgegevens door verenigingen zonder winstoogmerk of verenigingen op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied komt in aanmerking voor een specifieke afwijking wanneer de verwerking betrekking heeft op gevoelige gegevens van de leden, die anders verboden zou zijn (amendement nr. 149).

De wens van het Europees Parlement om meer soepelheid in te voeren voor wat betreft de verwerking van gegevens met betrekking tot overtredingen, strafrechtelijke veroordelingen enz., wordt door de huidige tekst gedekt (amendement nr. 65).

Het is aan de Lid-Staten om vast te stellen onder welke voorwaarden een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard voor verwerking mag worden gebruikt (amendement nr. 65).

iv) Recht van de betrokkenen (artikelen 10, 11, 12, 14, 15 en 22)

De rechten van de betrokkenen werden versterkt en nader omschreven, meer bepaald:

- het recht op informatie werd uitgebreid tot de oorsprong van de gegevens en tot de mededeling van de redeneringen die zijn gevolgd voor sommige automatische verwerkingen (amendementen nrs. 46 en 48);

- het recht op toegang moet zonder enige dwang van de kant van derden kunnen worden uitgeoefend (amendement nr. 132);

- het recht van verzet kan te allen tijde worden uitgeoefend, en met name ten aanzien van verwerkingen met het oog op direct marketing (amendementen nrs. 30 en 145);

- de mogelijkheden van beroep waarin door de Lid-Staten moet worden voorzien, werden uitgebreid tot alle door de richtlijn gegarandeerde rechten; in dit verband dient te worden aangestipt dat de eis van het Europees Parlement dat de sancties ook moeten gelden voor de verantwoordelijken in de overheidssector, in overweging 55 is verwerkt (amendementen nrs. 52 en 77).

v) Aanmelding van de verwerkingen en voorafgaand onderzoek door de toezichthoudende autoriteiten - artikelen 18, 19 en 20

Om tegemoet te komen aan de wens om te komen tot minder rompslomp en een grotere doeltreffendheid is de aanmeldingsprocedure selectiever geworden; het wordt de Lid-Staten mogelijk gemaakt af te wijken van de verplichting tot aanmelding of de aanmelding te vereenvoudigen, met name wanneer de verwerking de rechten en vrijheden van de betrokkene niet aantast of wanneer de verwerking wordt verricht door een vereniging op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied (amendement nr. 149). Deze vrijstellingen of vereenvoudigingen kunnen in de praktijk gelden voor een hele reeks verwerkingen (met name die welke het Europees Parlement bedoelt in zijn amendement nr. 23).

Voorts werd het beginsel overgenomen van het onderzoek door de toezichthoudende autoriteit vóór de tenuitvoerlegging van de verwerkingen die specifieke gevaren inhouden voor de rechten en vrijheden van de personen; voorbeelden van dergelijke verwerkingen, als bedoeld door het Europees Parlement, staan als indicatie in de overwegingen (amendementen nrs. 40, 42, 118 en 119).

Deze aanpak moet het de Lid-Staten mogelijk maken de procedures aan te passen aan de nationale eigen kenmerken die nu eenmaal verbonden zijn met de veelvormige praktijk en de verschillen in de ontwikkeling van de gegevensverwerkingen.

De raadpleging door het publiek van het door de toezichthoudende autoriteit bijgehouden register van de aangemelde verwerkingen werd overgenomen (amendementen nrs. 37 en 39).

vi) Gedragscodes (artikel 27)

De aanmoediging om gedragscodes op nationaal en Europees niveau op te stellen werd bevestigd met het oog op de aan de specifieke kenmerken van de sectoren aangepaste toepassing van de beginselen van de richtlijn; bovendien kunnen de toezichthoudende autoriteiten, de groep voor de bescherming van de personen als bedoeld in artikel 29 en de betrokkenen of hun vertegenwoordiger bij de opstelling van deze codes worden betrokken (amendementen nrs. 72 en 91).

vii) Toezichthoudende autoriteiten (artikel 28)

De Lid-Staat moet ervoor zorgen dat er een of meer toezichthoudende autoriteiten zijn - met name om rekening te houden met de federale structuur van bepaalde Lid-Staten - die belast zijn met het toezicht op de toepassing van de ter uitvoering van de richtlijn vastgestelde bepalingen (amendement nr. 84). De bevoegdheden van de toezichthoudende autoriteit

kunnen onder meer de afscherming of de uitwissing van gegevens of een verwerkingsverbod omvatten (amendement nr. 86). De toezichthoudende autoriteiten moeten hun periodieke verslag publiceren (amendement nr. 87).

viii) Groep voor de bescherming van personen (artikel 29)

De volgende, door het Europees Parlement voorgestelde, taken zijn overgenomen:

- advies geven over de toepassing van de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen;

- advies geven over het beschermingsniveau in de Gemeenschap en in derde landen alsmede over de maatregelen die ter bescherming van de rechten en de vrijheden van personen dienen te worden genomen;

- de mogelijkheid om uit eigen beweging advies uit te brengen.

De Commissie moet een verslag opstellen en publiceren om de groep mee te delen welk gevolg zij heeft gegeven aan de adviezen van de groep; dat verslag wordt tevens toegezonden aan het Europees Parlement en aan de Raad (amendementen nrs. 90, 91 en 92).

ix) Slotbepalingen (artikel 36)

Het verslag dat de Commissie op gezette tijden aan de Raad en het Europees Parlement richt, moet worden gepubliceerd (amendement nr. 95).

2. Overige wijzigingen op het voorstel die in het gemeenschappelijk standpunt van de Raad zijn overgenomen

i) Definities (artikel 2)

Er is een definitie van de ontvanger opgenomen om de transparantie van de verwerkingen ten aanzien van de betrokken personen te waarborgen.

ii) Gegevens in niet-geautomatiseerde bestanden (artikelen 2 en 33)

Teneinde de toepassing van de richtlijn te vergemakkelijken in de Lid-Staten die nog geen maatregelen hebben genomen op het gebied van de niet-geautomatiseerde bestanden, is voor de toepassing van een aantal bepalingen van de richtlijn voorzien in een overgangsperiode van twaalf jaar.

iii) Toepasselijk nationaal recht (artikel 4)

De Raad heeft het door de Commissie voorgestelde, voor de interne markt klassieke toepasselijkheidscriterium overgenomen: bepalend is de plaats van vestiging van de voor de verwerking verantwoordelijke. Voorts heeft de Raad nuttige verduidelijkingen aangebracht met betrekking tot het begrip "de vestiging van de voor de verwerking verantwoordelijke" (overweging 19), de verplichtingen inzake veiligheid die krachtens artikel 17 bij de verwerker berusten en de bevoegdheden van de toezichthoudende autoriteiten voor wat betreft de verwerking op hun grondgebied in artikel 28.

iv) Behandeling van gevoelige gegevens (artikel 8)

Er zijn uitzonderingen ingevoerd op het verbod van gegevens over de raciale of etnische afkomst, opvattingen, de gezondheid of het sexuele leven, om een aantal gerechtvaardigde behoeften te dekken, met name op medisch gebied en op het gebied van de arbeid, mits passende garanties worden geboden.

Afwijkingen in verband met een belangrijk openbaar belang en afwijkingen in verband met de voorschriften inzake de verwerking van strafrechtelijke gegevens moeten aan de Commissie worden meegedeeld.

v) Vrijheid van meningsuiting (artikel 9)

De Raad heeft de benadering van de Commissie overgenomen waarmee wordt beoogd de verwerking voor journalistieke doeleinden in de werkingssfeer van de richtlijn op te nemen. Behalve deze verwerkingen moet voor verwerkingen voor artistieke of literaire doeleinden een speciale regeling worden ingesteld om de vrijheid van meningsuiting te verzoenen met de bescherming van het persoonlijke leven. Deze regeling wordt toegepast door de Lid-Staten.

vi) Verwerkingen voor statistische, historische of wetenschappelijke doeleinden

Zonder afbreuk te doen aan het kaderrichtlijn-karakter van de richtlijn heeft de Raad aan de afwijking van de maximumduur voor de bewaring van gegevens voor statistische, historische of wetenschappelijke doeleinden (artikel 6, lid 1, onder e)) een aantal nuttige verduidelijkingen toegevoegd, met name in artikel 6, lid 1, onder b), over de verenigbaarheid van verwerkingen voor deze doeleinden met die van gegevens die verzameld zijn voor een ander doel, alsmede in artikel 11 inzake de informatie van de betrokkenen. De werkingssfeer van de facultatieve afwijking van het recht van toegang tot de verwerkte gegevens voor een dergelijk doel is uitgebreid (artikel 13, lid 2).

vii) Transparantie van de verwerkingen (artikelen 10, 11 en 21)

De verplichtingen met betrekking tot de informatie van de betrokkenen over de verwerking van hun gegevens zijn flexibeler gemaakt om rekening te houden met de uiteenlopende omstandigheden waarin dergelijke verwerkingen kunnen worden uitgevoerd (artikelen 10 en 11). Voorts is de verplichting van de Lid-Staten om aan eenieder het recht te waarborgen op de hoogte te zijn van het bestaan van een verwerking, zoals bepaald in het voormalige artikel 10 van het gewijzigde voorstel, overgenomen in artikel 21 in de vorm van een verplichting om te zorgen voor openbaarheid van de verwerkingen.

viii) Uitzonderingen en beperkingen (artikel 13, ex artikel 14)

De uitzonderingen of beperkingen in de artikelen betreffende de informatieplicht en de transparantie van de verwerkingen (de vroegere artikelen 11, 12 en 21, thans 10, 11 en 21), waarin verwezen werd naar artikel 14, dat aanvankelijk alleen gold voor uitzonderingen op het recht op toegang, zijn in dit vroegere artikel ingelast.

De uitzonderingen en beperkingen ten behoeve van de in dit artikel bedoelde belangen zijn uitgebreid tot het in artikel 6 neergelegde doelmatigheidsbeginsel.

Voorts is bepaald dat de uitzonderingen en beperkingen bij wet moeten worden vastgesteld.

De compensatieregel, die erin bestaat dat in geval van beperking van het recht op toegang, op verzoek van de betrokkene toezicht wordt uitgeoefend door de toezichthoudende autoriteit, is in artikel 28 opgenomen.

ix) Beveiliging van de verwerking (artikelen 16 en 17)

De vertrouwelijkheid is in een apart artikel geregeld (artikel 16); de bepalingen over de beveiligingsplicht van zowel de voor de verwerking verantwoordelijke als de verwerker zelf (artikel 17) zijn redactioneel vereenvoudigd. Er is opnieuw rekening gehouden met de kosten van de te treffen maatregelen, maar wel is het criterium gehandhaafd dat bij de beoordeling van het passende karakter van de maatregelen moet worden gelet op de risico's.

x) Aanmelding en voorafgaand onderzoek (artikelen 18, 19 en 20)

Met betrekking tot de aanmelding is niet alleen vrijstelling mogelijk voor categorieën verwerkingen waarbij inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is (Commissievoorstel), maar ook wanneer een functionaris voor de beschreven taken is aangewezen die er aldus borg voor staat dat met de verwerking geen inbreuk wordt gemaakt op de rechten en vrijheden van de betrokkenen.

Het voorafgaande onderzoek van verwerkingen die specifieke risico's voor de persoonlijke rechten en vrijheden inhouden, kan worden uitgevoerd door de toezichthoudende autoriteit (Commissievoorstel) of door de functionaris voor de gegevensbescherming in samenwerking met de toezichthoudende autoriteit. De toezichthoudende autoriteiten kunnen overeenkomstig het nationale recht advies uitbrengen of na het voorafgaand onderzoek machtiging verlenen.

Deze aanmeldings- en controleregels vormen een compromis omdat daarbij evenveel gewicht wordt toegekend aan twee soorten procedures die in de Lid-Staten hun diensten hebben bewezen.

xi) Derde landen (artikelen 25 en 26)

De door de Commissie voorgestelde algemene aanpak, namelijk het beginsel dat er in derde landen een passend beschermingsniveau moet bestaan, en de regel dat de Lid-Staten moeten zorgen voor de naleving van dit beginsel, is door de Raad bevestigd. Er is evenwel voorzien in maatregelen om te garanderen dat communautaire beleidslijnen ter zake op homogene wijze worden opgevolgd. De Raad heeft echter aangegeven welke gegevens in aanmerking moeten worden genomen bij de beoordeling van het beschermingsniveau en in welke gevallen een afwijking mogelijk is.

xii) Toezichthoudende autoriteiten (artikel 28)

Er is bepaald dat de toezichthoudende autoriteiten stelselmatig geraadpleegd moeten worden bij de opstelling van wettelijke of bestuursrechtelijke bepalingen. Om de Lid-Staten de nodige armslag te laten, zijn de actiemogelijkheden van deze toezichthoudende autoriteiten slechts indicatief aangegeven. Ten slotte is de samenwerking tussen de toezichthoudende autoriteiten inzake grensoverschrijdend gegevensverkeer nader omschreven.

xiii) Comité (artikel 31)

Met betrekking tot de overdracht van gegevens naar derde landen en de daartoe noodzakelijke overdracht van uitvoeringsbevoegdheden aan de Commissie, heeft de Raad geopteerd voor procedure III, variant a), in artikel 2 van Besluit 87/373/EEG.

xiv) Slotbepalingen (artikelen 32 en 33)

Afgezien van de vaststelling van de eerder vermelde overgangsbepalingen voor de conformering van niet-geautomatiseerde bestanden, is het nodig gebleken de termijn voor de omzetting van de richtlijn in nationaal recht op drie jaar vanaf de aanneming van de richtlijn te brengen.

In het licht van de technologische ontwikkelingen, met name het ontstaan van de informatiemaatschappij, wijdt de Commissie in haar periodiek verslag vooral een onderzoek aan de toepassing van de richtlijn op de verwerking van via geluid en beeld opgeslagen persoonsgegevens.