Toelichting bij COM(2017)8 - Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en het vrije verkeer daarvan - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2017)8 - Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en ... |
|---|---|
| bron | COM(2017)8   |
| datum | 10-01-2017 |
• Motivering en doel van het voorstel
Artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU), zoals ingevoerd door het Verdrag van Lissabon, bepaalt dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Bovendien is bij het Verdrag van Lissabon in artikel 16, lid 2, VWEU een specifieke rechtsgrondslag voor de vaststelling van EU-voorschriften inzake gegevensbescherming ingevoerd. De bescherming van persoonsgegevens is als grondrecht verankerd in artikel 8 van het Handvest van de grondrechten van de Europese Unie.
Het recht op de bescherming van persoonsgegevens is ook van toepassing bij de verwerking van persoonsgegevens door instellingen, organen en instanties van de EU. Verordening (EG) nr. 45/2001 1 , de hoeksteen van de vigerende EU-wetgeving inzake de bescherming van persoonsgegevens in de instellingen van de Unie, werd in 2001 vastgesteld en had twee doelstellingen: het fundamentele recht op gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens in de hele Unie garanderen. De verordening werd aangevuld met Besluit nr. 1247/2002/EG 2 .
Op 27 april 2016 hebben het Europees Parlement en de Raad de algemene verordening gegevensbescherming (Verordening (EU) 2016/679) vastgesteld, die met ingang van 25 mei 2018 van toepassing wordt. In die verordening wordt bepaald dat Verordening (EG) nr. 45/2001 aan de beginselen en regels van Verordening (EU) 2016/679 moet worden aangepast om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen, en dat ervoor moet worden gezorgd dat beide instrumenten op hetzelfde tijdstip van toepassing kunnen worden 3 .
Het is in overeenstemming met de samenhangende aanpak van de bescherming van persoonsgegevens in de Unie dat de gegevensbeschermingsvoorschriften voor de instellingen, organen en instanties van de Unie zoveel mogelijk gelijklopen met de gegevensbeschermingsvoorschriften die op de lidstaten van toepassing zijn. Wanneer een bepaling van dit voorstel op hetzelfde concept is gebaseerd als een bepaling van Verordening (EU) 2016/679, dienen beide bepalingen homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van dit voorstel de verordening moet worden opgevat als de tegenhanger van Verordening (EU) Verordening (EU) 2016/679 4 .
Bij de herziening van Verordening (EG) nr. 45/2001 wordt ook rekening gehouden met de resultaten van onderzoeken en raadplegingen van belanghebbenden en met de evaluatie van de toepassing van die verordening gedurende de afgelopen vijftien jaar.
Dit initiatief ressorteert niet onder het programma voor gezonde regelgeving (REFIT).
• Samenhang met bestaande bepalingen op het beleidsterrein
Het doel van dit voorstel is de bepalingen van Verordening (EG) nr. 45/2001 aan te passen aan de beginselen en voorschriften van Verordening (EU) 2016/679, teneinde de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen. In het voorstel zijn tevens de relevante voorschriften van Verordening (EG) XXXX/XX [de e-privacyverordening] inzake de bescherming van de eindapparatuur van de eindgebruikers opgenomen.
• Samenhang met andere beleidsterreinen van de Unie
Niet van toepassing.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
De bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens is een grondrecht, dat is vastgelegd in artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie.
Dit voorstel is gebaseerd op artikel 16 VWEU, de rechtsgrondslag voor de vaststelling van voorschriften inzake gegevensbescherming. Op grond van dat artikel kunnen voorschriften worden vastgesteld betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen. Ook kunnen op grond van dat artikel voorschriften worden vastgesteld betreffende het vrije verkeer van persoonsgegevens, met inbegrip van persoonsgegevens die zijn verwerkt door die instellingen, organen en instanties.
• Subsidiariteit (voor niet-exclusieve bevoegdheden)
Het onderwerp van deze verordening valt onder de exclusieve bevoegdheid van de Unie, aangezien slechts de Unie voorschriften kan vaststellen voor de verwerking van persoonsgegevens door de instellingen van de Unie.
• Evenredigheid
Ter verwezenlijking van de basisdoelstellingen, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en van het vrije verkeer van persoonsgegevens in de hele Unie, is het overeenkomstig het evenredigheidsbeginsel noodzakelijk en passend dat voorschriften worden vastgesteld inzake de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het Verdrag betreffende de Europese Unie niet verder dan wat nodig is om de beoogde doelstellingen te verwezenlijken.
• Keuze van het instrument
Een verordening wordt beschouwd als het meest geschikte rechtsinstrument voor de vaststelling van het kader voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en het vrije verkeer van die gegevens. Met een verordening kunnen aan natuurlijke personen wettelijk afdwingbare rechten worden toegekend en de verplichtingen van verwerkingsverantwoordelijken in de instellingen, organen en instanties van de Unie op het gebied van gegevensverwerking worden vastgesteld. Bovendien wordt voorzien in een onafhankelijke toezichthoudende autoriteit, de Europese Toezichthouder voor gegevensbescherming, die belast wordt met het toezicht op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie.
3. RESULTATEN VAN EX-POSTEVALUATIES, RAADPLEGINGEN VAN BELANGHEBBENDEN EN EFFECTBEOORDELINGEN
De Commissie heeft in 2010 en 2011 de belanghebbenden geraadpleegd en in het kader van de opstelling van het pakket inzake de hervorming van de gegevensbescherming een effectbeoordeling uitgevoerd in verband met de voorgestelde wijzigingen van Verordening (EG) nr. 45/2001. De Commissie heeft in dit verband tevens een enquête uitgevoerd onder de gegevensbeschermingscoördinatoren van de Commissie 5 .
Ten aanzien van de praktische toepassing van Verordening (EG) nr. 45/2001 door de instellingen, organen en instanties van de Unie is informatie verzameld bij de Europese Toezichthouder voor gegevensbescherming, andere instellingen, organen en instanties van de Unie, andere directoraten-generaal van de Commissie en een externe contractant. Er is een vragenlijst gestuurd naar het netwerk van gegevensbeschermingsfunctionarissen 6 .
De gegevensbeschermingsfunctionarissen van een aantal instellingen, organen en instanties van de Unie hebben op 9 juli 2015, 22 oktober 2015, 19 januari 2016 en 15 maart 2016 deelgenomen aan workshops over de hervorming van Verordening (EG) nr. 45/2001.
De Commissie heeft in 2013 besloten een externe contractant een evaluatie te laten verrichten over de toepassing van Verordening (EG) nr. 45/2001 tot dan toe. De resultaten van de studie (eindverslag, vijf casestudy’s en een analyse per artikel) werden op 8 juni 2015 aan de Commissie geleverd 7 .
Uit de evaluatie is gebleken dat het governancesysteem dat opgebouwd is rond de taken van de gegevensbeschermingsfunctionarissen en de Europese Toezichthouder effectief is. De verdeling van bevoegdheden over de gegevensbeschermingsfunctionarissen en de Toezichthouder blijkt duidelijk en evenwichtig te zijn, zodat beide een passend takenpakket hebben. Er zouden echter problemen kunnen ontstaan door een gezagslacune ten gevolge van onvoldoende ondersteuning van de gegevensbeschermingsfunctionarissen door het management.
De evaluatie gaf aan dat Verordening (EG) nr. 45/2001 beter zou kunnen worden uitgevoerd als de Europese Toezichthouder meer sancties zou opleggen. Als de Toezichthouder vaker gebruik zou maken van zijn toezichtsbevoegdheid, zouden de voorschriften voor gegevensbescherming doeltreffender zijn. Ook werd geconcludeerd dat de verwerkingsverantwoordelijken een aanpak op basis van risicobeheersing zouden moeten volgen en voorafgaand aan de verwerking van gegevens de risico’s daarvan zouden moeten beoordelen. Daardoor zouden de vereisten inzake de bewaring en beveiliging van gegevens beter kunnen worden nageleefd.
De studie liet verder zien dat de voorschriften over de telecommunicatiesector in hoofdstuk IV van Verordening (EG) nr. 45/2001 verouderd zijn en dat dit hoofdstuk moet worden aangepast aan de e-privacyrichtlijn. Bovendien moeten enkele belangrijke definities in de verordening worden verduidelijkt, zoals de aanwijzing van verwerkingsverantwoordelijken in de instellingen, organen en instanties van de Unie en de definitie van ontvangers. De geheimhoudingsplicht moet worden uitgebreid tot externe verwerkers.
In de studie werd tevens aangegeven dat de regelingen voor kennisgevingen en voorafgaande controles moeten worden vereenvoudigd om de efficiency te vergroten en de administratieve lastendruk te verminderen.
De evaluator heeft in 64 instellingen, organen en instanties van de Unie enquêtes gehouden. Vragen werden beantwoord door 422 medewerkers van verwerkingsverantwoordelijken, 73 gegevensbeschermingsfunctionarissen, 118 gegevensbeschermingscoördinatoren en 109 IT-respondenten. De evaluator heeft daarnaast een aantal belanghebbenden geïnterviewd. Op 26 maart 2015 hebben de evaluator en de Commissie een afsluitende workshop gehouden, die werd bijgewoond door een aantal verwerkingsverantwoordelijken, gegevensbeschermingsfunctionarissen, gegevensbeschermingscoördinatoren, IT-respondenten en vertegenwoordigers van de Europese Toezichthouder.
• Bijeenbrengen en benutten van deskundigheid
Zie de verwijzing naar de evaluatie onder het vorige punt.
• Effectbeoordeling
De effecten van dit voorstel zullen met name merkbaar zijn voor de instellingen, organen en instanties van de Unie. Dit is bevestigd door de informatie die was verzameld bij de Europese Toezichthouder, andere instellingen, organen en instanties van de Unie, andere directoraten-generaal van de Commissie en de externe contractant. Voorts is in de context van de voorbereidingen voor Verordening (EU) 2016/679 het effect beoordeeld van de nieuwe verplichtingen die voortvloeien uit Verordening (EU) 2016/679, waaraan deze verordening moet worden aangepast. Een specifieke effectbeoordeling van deze verordening is dan ook niet nodig.
• Gezonde regelgeving en vereenvoudiging
Niet van toepassing.
• Grondrechten
Het recht op bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest van de Grondrechten van de Europese Unie, hierna „het Handvest” genoemd, in artikel 16 VWEU en artikel 8 van het Europees Verdrag inzake de rechten van de mens. Zoals het Hof van Justitie van de Europese Unie heeft beklemtoond 8 , heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd 9 . Er is ook een nauw verband tussen gegevensbescherming en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd.
Dit voorstel bevat voorschriften voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en het vrije verkeer van die gegevens.
Andere in het Handvest vastgelegde grondrechten die mogelijk in het geding zijn: de vrijheid van meningsuiting (artikel 11); het recht op eigendom en met name de bescherming van intellectuele eigendom (artikel 17, lid 2); het verbod van discriminatie op grond van onder andere ras, etnische afkomst, genetische kenmerken, godsdienst of overtuiging, politieke of andere denkbeelden, handicap of seksuele gerichtheid (artikel 21); de rechten van het kind (artikel 24); het recht op een hoog niveau van bescherming van de menselijke gezondheid (artikel 35); het recht van inzage in documenten (artikel 42); en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht (artikel 47).
4. GEVOLGEN VOOR DE BEGROTING
Zie bijgaand financieel memorandum.
5. OVERIGE ELEMENTEN
• Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Niet van toepassing.
• Toelichtende stukken (bij richtlijnen)
Niet van toepassing.
HOOFDSTUK I – ALGEMENE BEPALINGEN
In artikel 1 wordt het onderwerp van de verordening bepaald en worden, evenals in artikel 1 van Verordening (EG) nr. 45/2001, de twee doelstellingen van de verordening geformuleerd: het fundamentele recht op gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens in de hele Unie garanderen. Bovendien wordt voorzien in de belangrijkste taken van de Europese Toezichthouder voor gegevensbescherming.
Artikel 2 bepaalt het toepassingsgebied van de verordening. Zij is van toepassing op de, al dan niet geautomatiseerde, verwerking van persoonsgegevens door alle instellingen en organen van de Unie, voor zover die verwerking plaatsvindt ten behoeve van de uitvoering van werkzaamheden die geheel of gedeeltelijk onder het toepassingsgebied van het Unierecht vallen. Het materiële toepassingsgebied van de verordening is technologieneutraal geformuleerd. De bescherming van persoonsgegevens is van toepassing op geautomatiseerde verwerking van persoonsgegevens en op handmatige verwerking indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand.
Artikel 3 bevat de definities van de termen die in de verordening worden gebruikt. De definities van „instellingen en organen van de Unie”, „verwerkingsverantwoordelijke”, „gebruiker” en „gebruikerslijst” zijn specifiek voor deze verordening; daarnaast gelden de termen die zijn gedefinieerd in Verordening (EU) 2016/679, Verordening (EU) 0000/00 [de nieuwe e-privacyverordening], Richtlijn (EU) 0000/00 [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] en Richtlijn 2008/63/EG van de Commissie.
HOOFDSTUK II – BEGINSELEN
Artikel 4 bevat de beginselen betreffende de verwerking van persoonsgegevens die overeenkomen met die van artikel 5 van Verordening (EU) 2016/679. In vergelijking met Verordening (EG) nr. 45/2001 zijn de beginselen van „transparantie” en „integriteit en vertrouwelijkheid” toegevoegd.
Artikel 5 is gebaseerd op artikel 6 van Verordening (EU) 2016/679. Het vermeldt de criteria voor de rechtmatigheid van de verwerking, met uitzondering van het criterium van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, dat op de overheidssector niet van toepassing is en derhalve niet moet gelden voor de instellingen en organen van de Unie. Artikel 5 handhaaft de criteria die reeds in artikel 5 van Verordening (EG) nr. 45/2001 waren vastgesteld.
Artikel 6 verduidelijkt de voorwaarden waaronder verwerking voor een ander, verenigbaar doel is toegestaan, in overeenstemming met artikel 6, lid 4, van Verordening (EU) 2016/679. In vergelijking met artikel 6 van Verordening (EG) nr. 45/2001 biedt de nieuwe bepaling meer flexibiliteit en rechtszekerheid ten aanzien van verdere verwerking voor verenigbare doeleinden.
In artikel 7 wordt verduidelijkt, in overeenstemming met artikel 7 van Verordening (EU) 2016/679, onder welke voorwaarden toestemming een geldige grond voor rechtmatige verwerking is.
Artikel 8 bevat, in overeenstemming met artikel 8 van Verordening (EU) 2016/679, nadere voorwaarden betreffende de rechtmatigheid van de verwerking van persoonsgegevens van kinderen in het kader van diensten van de informatiemaatschappij die hun rechtstreeks worden aangeboden. In dit artikel wordt bepaald dat een kind vanaf 13 jaar geldig toestemming kan verlenen.
Artikel 9 bevat, evenals artikel 8 van Verordening (EG) nr. 45/2001, regels die een specifiek beschermingsniveau bieden voor de doorzending van persoonsgegevens aan in de Unie gevestigde ontvangers die onder Verordening (EU) 2016/679 of Richtlijn (EU) 2016/680 vallen, maar geen instellingen of organen van de Unie zijn. Hier wordt bepaald dat indien de verwerkingsverantwoordelijke het initiatief neemt voor de doorzending, hij de noodzaak en de evenredigheid van de doorzending moet aantonen.
Artikel 10, dat is gebaseerd op artikel 9 van Verordening (EU) 2016/679 en een verdere uitwerking van artikel 10 van Verordening (EG) nr. 45/2001 vormt, bevat een algemeen verbod op de verwerking van speciale categorieën persoonsgegevens en de uitzonderingen op die algemene regel.
Artikel 11 bepaalt, in overeenstemming met artikel 10 van Verordening (EU) 2016/679 en artikel 10, lid 5, van Verordening (EG) nr. 45/2001, de voorwaarden voor de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten.
Artikel 12 verduidelijkt de informatieplicht van de verwerkingsverantwoordelijke jegens de betrokkene door in overeenstemming met artikel 11 van Verordening (EU) 2016/679 te bepalen dat indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, hij niet mag worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen.
Artikel 13 bevat, in overeenstemming met artikel 89, lid 1, van Verordening (EU) 2016/679, de regels inzake waarborgen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.
HOOFDSTUK III – RECHTEN VAN DE BETROKKENE
Afdeling 1 – Transparantie en modaliteiten
Artikel 14 voert, in overeenstemming met artikel 12 van Verordening (EU) 2016/679, voor de verwerkingsverantwoordelijke de verplichting in om te voorzien in transparante, gemakkelijk toegankelijke en begrijpelijke informatie en procedures en mechanismen voor de uitoefening van de rechten van de betrokkene, waar van toepassing met inbegrip van middelen om verzoeken elektronisch in te dienen, alsmede de verplichting om verzoeken van betrokkenen binnen een bepaalde termijn te beantwoorden en weigering te motiveren. Aangezien het niet te verwachten is dat de instellingen en organen van de Unie in enige omstandigheid vergoeding zullen verlangen van de administratieve kosten van de verstrekking van de informatie, is de mogelijkheid daartoe niet overgenomen uit Verordening (EU) 2016/679.
Afdeling 2 – Informatie en toegang tot gegevens
In artikel 15 wordt de mededelingsplicht bepaald die de verwerkingsverantwoordelijke heeft ten opzichte van de betrokkene bij wie persoonsgegevens worden verzameld. Deze bepaling is gebaseerd op artikel 13 van Verordening (EU) 2016/679 en vormt een verdere uitwerking van artikel 11 van Verordening (EG) nr. 45/2001. De te verstrekken informatie betreft onder meer de opslagtermijn, het recht een klacht in te dienen en internationale doorgifte.
In artikel 16 wordt, op basis van artikel 14 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 12 van Verordening (EG) nr. 45/2001, nader bepaald dat, wanneer de persoonsgegevens niet van de betrokkene zijn verkregen, de verwerkingsverantwoordelijke aan de betrokkene moet meedelen uit welke bron de gegevens zijn verkregen. Ook worden in Verordening (EU) 2016/679 vastgestelde mogelijke afwijkingen gehandhaafd, dat wil zeggen dat informatie niet hoeft te worden verstrekt indien de betrokkene reeds over de informatie beschikt, indien het verstrekken van die informatie onmogelijk blijkt of van de verwerkingsverantwoordelijke onevenredig veel inspanning zou vergen, indien de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of indien het registreren of verstrekken van de gegevens uitdrukkelijk wettelijk is voorgeschreven. Dit zou bijvoorbeeld kunnen gelden voor procedures van diensten met bevoegdheid op het gebied van sociale zekerheid of gezondheid.
Artikel 17 voorziet, in overeenstemming met artikel 15 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 13 van Verordening (EG) nr. 45/2001, in het recht van inzage van de betrokkene in diens eigen persoonsgegevens, en voegt daaraan toe dat de betrokkene moet worden ingelicht over de opslagtermijn, het recht op rectificatie en wissing en het recht om een klacht in te dienen.
Afdeling 3 – Rectificatie en wissing van gegevens
Artikel 18, dat is gebaseerd op artikel 16 van Verordening (EU) 2016/679 en een verdere uitwerking van artikel 14 van Verordening (EG) nr. 45/2001 vormt, bepaalt dat de betrokkene recht heeft op rectificatie.
Artikel 19 bepaalt, in overeenstemming met artikel 17 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 16 van Verordening (EG) nr. 45/2001, dat de betrokkene het recht heeft op vergetelheid en het recht om zijn persoonsgegevens te laten wissen. Het artikel bepaalt de voorwaarden die van toepassing zijn op het recht op vergetelheid. Zo dient de verwerkingsverantwoordelijke die de persoonsgegevens openbaar heeft gemaakt, derden op de hoogte te stellen van het verzoek van de betrokkene om iedere koppeling naar en kopie of reproductie van die persoonsgegevens te wissen.
Artikel 20 voert het recht in om de verwerking in bepaalde gevallen te laten beperken. De onduidelijke term „afschermen” van Verordening (EG) nr. 45/2001 wordt niet meer gebruikt en de nieuwe term is in overeenstemming met artikel 18 van Verordening (EU) 2016/679.
Artikel 21 bepaalt, in overeenstemming met artikel 19 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 17 van Verordening (EG) nr. 45/2001, dat de verwerkingsverantwoordelijke de ontvangers aan wie de persoonsgegevens zijn verstrekt, in kennis moet stellen van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke moet de betrokkene ook informeren over de ontvangers indien de betrokkene hierom verzoekt.
Artikel 22 voert voor betrokkenen in overeenstemming met artikel 20 van Verordening (EU) 2016/679 het recht op overdraagbaarheid van gegevens in. Dit houdt in dat de betrokkene het recht heeft de hem betreffende persoonsgegevens die hij aan een verwerkingsverantwoordelijke heeft verstrekt, te verkrijgen en rechtstreeks aan een andere verwerkingsverantwoordelijke over te dragen, indien dat technisch haalbaar is. Teneinde de toegang van natuurlijke personen tot hun persoonsgegevens verder te verbeteren, voorziet het artikel als een absolute voorwaarde in het recht om deze gegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen. Dit recht geldt alleen wanneer de verwerking geschiedt op grond van de toestemming van de betrokkene of een door hem gesloten overeenkomst.
Afdeling 4 – Recht van bezwaar en geautomatiseerde individuele besluitvorming
Artikel 23, dat is gebaseerd op artikel 21 van Verordening (EU) 2016/679 en een verdere uitwerking van artikel 18 van Verordening (EG) nr. 45/2001 vormt, bepaalt dat de betrokkene recht van bezwaar heeft.
Artikel 24, dat is gebaseerd op artikel 22 van Verordening (EU) 2016/679 en een verdere uitwerking van artikel 19 van Verordening (EG) nr. 45/2001 vormt, bepaalt dat de betrokkene het recht heeft niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit.
Afdeling 5 – Beperkingen
Artikel 25 voorziet in beperkingen van de rechten die betrokkenen genieten op grond van de artikelen 14 tot en met 22 en de artikelen 34 en 38 en van de beginselen van artikel 4 (voor zover de bepalingen daarvan overeenstemmen met de rechten en plichten waarin is voorzien in de artikelen 14 tot en met 22). Dergelijke beperkingen moeten worden vastgelegd in rechtshandelingen die gebaseerd zijn op de Verdragen of de interne voorschriften van de instellingen en organen van de Unie. Indien de rechtshandelingen die gebaseerd zijn op de Verdragen of de interne voorschriften van de instellingen en organen van de Unie niet in de mogelijkheid van een dergelijke beperking voorzien, kunnen de instellingen of organen van de Unie ad hoc een beperking opleggen, indien deze beperking ten aanzien van een specifieke verwerking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van een of meer van de doelstellingen ten aanzien waarvan beperking van de rechten van betrokkenen is toegestaan. Deze benadering is in overeenstemming met artikel 23 van Verordening (EU) 2016/679. In tegenstelling tot artikel 23 van Verordening (EU) 2016/679, maar in overeenstemming met artikel 20 van Verordening (EG) nr. 45/2001, wordt in artikel 25 echter niet voorzien in de mogelijkheid om beperkingen op te leggen aan het recht van bezwaar en het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. De bepalingen inzake beperkingen zijn in overeenstemming met het Handvest van de grondrechten van de Europese Unie en het Europees Verdrag inzake de rechten van de mens, zoals uitgelegd door respectievelijk het Hof van Justitie van de Europese Unie en het Europees Hof voor de Rechten van de Mens.
HOOFDSTUK IV – VERWERKINGSVERANTWOORDELIJKE EN VERWERKER
Afdeling 1 – Algemene verplichtingen
Artikel 26 bouwt voort op artikel 24 van Verordening (EU) 2016/679. Het voert het verantwoordingsbeginsel in, dat inhoudt dat de verwerkingsverantwoordelijke de plicht heeft om aan deze verordening te voldoen en aan te tonen dat hij aan deze verplichting heeft voldaan; hij dient daartoe onder meer passende technische en organisatorische maatregelen te treffen en waar nodig interne regelingen en mechanismen vast te stellen om naleving te waarborgen. Lid 3 van artikel 24 van Verordening (EU) 2016/679 is niet overgenomen, aangezien de instellingen en organen van de Unie niet verplicht moeten zijn zich bij gedragscodes of certificeringsmechanismen aan te sluiten.
Artikel 27 betreft, in overeenstemming met artikel 25 van Verordening (EU) 2016/679, de verplichtingen van de verwerkingsverantwoordelijke die voortvloeien uit de beginselen inzake gegevensbescherming door ontwerp en door standaardinstellingen.
Artikel 28 betreffende gezamenlijke verwerkingsverantwoordelijken bouwt voort op artikel 26 van Verordening (EU) 2016/679. Het verduidelijkt de verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken (al dan niet instellingen of organen van de Unie) wat betreft hun onderlinge verhouding en hun verhouding tot de betrokkene. Deze bepaling regelt de situatie waarin alle gezamenlijke verwerkingsverantwoordelijken onder dezelfde wettelijke regeling vallen (namelijk deze verordening), alsmede de situatie waarin sommige verwerkingsverantwoordelijken onder deze verordening vallen en andere onder een ander rechtsinstrument, zoals Verordening (EU) 2016/679, Richtlijn (EU) 2016/680, Richtlijn (EU) 2016/681 of een andere specifieke gegevensbeschermingsregeling ten aanzien van instellingen of organen van de Unie.
Artikel 29 bouwt voort op artikel 28 van Verordening (EU) 2016/679 en is een verdere uitwerking van artikel 23 van Verordening (EG) nr. 45/2001. Het verduidelijkt de positie en de verplichting van verwerkers en bepaalt onder meer dat een verwerker die in strijd met de verordening de doeleinden en middelen van een verwerking bepaalt, met betrekking tot die verwerking als verwerkingsverantwoordelijke wordt beschouwd.
Artikel 30 betreffende verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker is gebaseerd op artikel 29 van Verordening (EU) 2016/679 waarin wordt bepaald dat een verwerker of een persoon die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, deze uitsluitend mag verwerken in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.
Artikel 31 bouwt voort op artikel 30 van Verordening (EU) 2016/679. Het bepaalt dat verwerkingsverantwoordelijken en verwerkers een register moeten bijhouden van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Deze verplichting kom in de plaats van de voorafgaande melding aan de Europese Toezichthouder voor gegevensbescherming als voorgeschreven in artikel 25 van Verordening (EG) nr. 45/2001 en het register van de functionaris voor gegevensbescherming. Anders dan in Verordening (EU) 2016/679 wordt in deze bepaling niet naar vertegenwoordigers verwezen, aangezien instellingen van de Unie geen vertegenwoordigers hebben, maar wel altijd een functionaris voor gegevensbescherming. De verwijzingen in Verordening (EU) 2016/679 naar doorgiften op basis van afwijkingen voor specifieke situaties zijn niet overgenomen, aangezien deze verordening niet voorziet in dergelijke doorgiften. De verplichting om een register van verwerkingsactiviteiten bij te houden kan voor een instelling of orgaan van de Unie centraal worden vervuld. In dat geval kunnen instellingen en organen van de Unie aan hun registratieplicht voor verwerkingsactiviteiten voldoen door een publiek toegankelijk register op te zetten.
Artikel 32 verduidelijkt op basis van artikel 31 van Verordening (EU) 2016/679 wat de verplichtingen van instellingen en organen van de Unie zijn wat de samenwerking met de Europese Toezichthouder voor gegevensbescherming betreft.
Afdeling 2 – Beveiliging van persoonsgegevens en vertrouwelijkheid van elektronische communicatie
Artikel 33 verplicht de verwerkingsverantwoordelijke, in overeenstemming met artikel 32 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 22 van Verordening (EG) nr. 45/2001, ertoe passende maatregelen te treffen om de beveiliging van de verwerking te waarborgen en breidt die verplichting uit tot de verwerker, ongeacht wat in de overeenkomst met de verwerkingsverantwoordelijke is bepaald.
Artikel 34 bouwt voort op artikel 36 van Verordening (EG) nr. 45/2001 en waarborgt het vertrouwelijke karakter van de elektronische communicatie binnen de instellingen en organen van de Unie.
Artikel 35 bouwt voort op de bestaande praktijk binnen de instellingen en organen van de Unie. Het artikel beschermt informatie betreffende de eindapparatuur van eindgebruikers die voor het publiek toegankelijke, door de instellingen en organen van de Unie aangeboden websites bezoeken en gebruikmaken van door die instellingen en organen aangeboden mobiele toepassingen, zulks overeenkomstig Verordening (EU) XXXX/XX [de nieuwe e-privacyverordening], met name artikel 8.
Artikel 36 is gebaseerd op artikel 38 van Verordening (EG) nr. 45/2001 en beschermt persoonsgegevens die zijn opgenomen in openbare en niet-openbare gebruikerslijsten van instellingen en organen van de Unie.
In de artikelen 37 en 38 wordt de verplichting ingevoerd om inbreuken in verband met persoonsgegevens te melden, in overeenstemming met de artikelen 33 en 34 van Verordening (EU) 2016/679.
Afdeling 3 – Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Artikel 39 bouwt voort op artikel 35 van Verordening (EU) 2016/679. Het voert voor verwerkingsverantwoordelijken en verwerkers de verplichting in een gegevensbeschermingseffectbeoordeling uit te voeren alvorens verwerkingen uit te voeren die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen. Deze verplichting geldt in het bijzonder wanneer er sprake is van systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, grootschalige verwerking van bijzondere categorieën gegevens of stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Artikel 40 is gebaseerd op artikel 36 vaan Verordening (EU) 2016/679 en betreft gevallen waarin, voorafgaand aan de verwerking, raadpleging en toestemming van de Europese Toezichthouder vereist zijn. In de eerste alinea van artikel 40 wordt echter overweging 94 van Verordening (EU) 2016/679 overgenomen ter verduidelijking van de reikwijdte van de verplichting om toestemming te vragen.
Afdeling 4 – Informatie en legislatieve raadpleging
Artikel 41 bepaalt dat instellingen en organen van de Unie de Europese Toezichthouder moeten raadplegen bij het opstellen van bestuurlijke maatregelen en interne voorschriften in verband met de verwerking van persoonsgegevens.
Artikel 42 bepaalt dat de Commissie de Europese Toezichthouder moet raadplegen na het vaststellen van voorstellen voor rechtshandelingen en aanbevelingen of voorstellen aan de Raad uit hoofde van artikel 218 VWEU, alsmede bij het opstellen van gedelegeerde handelingen of uitvoeringshandelingen die gevolgen hebben voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Indien dergelijke handelingen van bijzonder belang zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, kan de Commissie ook het Europees Comité voor gegevensbescherming raadplegen. In zulke gevallen coördineren deze entiteiten hun werkzaamheden met het oog op het uitbrengen van een gezamenlijk advies. Voor het uitbrengen van advies in de genoemde gevallen geldt een termijn van acht weken, waarvan kan worden afgeweken in spoedeisende gevallen en in andere omstandigheden waarin dat geboden is, bijvoorbeeld als de Commissie gedelegeerde handelingen of uitvoeringshandelingen opstelt.
Afdeling 5 – Repliek
Artikel 43 bepaalt dat verwerkingsverantwoordelijken en verwerkers verplicht zijn een repliek te geven wanneer de Europese Toezichthouder beslist een aangelegenheid aan hen voor te leggen.
Afdeling 6 – Functionaris voor gegevensbescherming
Artikel 44 bouwt voort op artikel 37, lid 1, onder a), van Verordening (EU) 2016/679 en artikel 24 van Verordening (EG) nr. 45/2001 en bepaalt dat instellingen en organen van de Unie verplicht zijn een functionaris voor gegevensbescherming aan te wijzen.
Artikel 45 bouwt voort op artikel 38 van Verordening (EU) 2016/679 en artikel 24 van Verordening (EG) nr. 45/2001 en bepaalt de positie van de functionaris voor gegevensbescherming.
Artikel 46 bouwt voort op artikel 39 van Verordening (EU) 2016/679, artikel 24 van Verordening (EG) nr. 45/2001 en de tweede en derde alinea van de bijlage bij laatstgenoemde verordening en bepaalt de kerntaken van de functionaris voor gegevensbescherming.
HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF AAN INTERNATIONALE ORGANISATIES
Artikel 47 bouwt voort op artikel 9 van Verordening (EG) nr. 45/2001. Het formuleert in overeenstemming met artikel 44 van Verordening (EU) 2016/679 het algemene beginsel dat de andere bepalingen van deze verordening en de voorwaarden van hoofdstuk V moeten worden nageleefd bij elke doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties, ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of de internationale organisatie naar een ander derde land of aan een andere internationale organisatie.
Artikel 48 bepaalt dat doorgifte van persoonsgegevens naar een derde land of aan een internationale organisatie kan plaatsvinden als de Commissie overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 heeft vastgesteld dat in het derde land, een gebied of een of meer nader bepaalde sectoren in het derde land, of in de internationale organisatie een passend beschermingsniveau wordt gewaarborgd, en de persoonsgegevens uitsluitend worden doorgegeven om de uitvoering mogelijk te maken van taken die onder de bevoegdheid van de verwerkingsverantwoordelijke vallen. De leden 2 en 3 van artikel 48 zijn overgenomen van artikel 9 van Verordening (EG) nr. 45/2001, aangezien het nuttige elementen betreft voor het toezicht op het beschermingsniveau in derde landen en internationale organisaties
Artikel 49 is gebaseerd op artikel 46 van Verordening (EU) 2016/679 en bepaalt dat als de Commissie geen adequaatheidsbesluit heeft vastgesteld, voor doorgifte naar derde landen passende waarborgen moeten worden geboden, zoals modelbepalingen inzake gegevensbescherming en contractbepalingen. Overeenkomstig Verordening (EU) 2016/679 kunnen andere verwerkers dan instellingen en organen van de Unie bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen toepassen. Lid 4 van artikel 49, waarin wordt bepaald dat instellingen en organen van de Unie de Europese Toezichthouder in kennis moeten stellen van categorieën gevallen waarin zij dit artikel hebben toegepast, stemt overeen met artikel 9, lid 8, van Verordening (EG) nr. 45/2001 en is gehandhaafd vanwege het specifieke karakter ervan. Lid 5 is gebaseerd op artikel 46, lid 5, van Verordening (EU) 2016/679, waarin wordt bepaald dat reeds gegeven toestemmingen geldig blijven totdat zij worden gewijzigd, vervangen of ingetrokken.
Artikel 50 verduidelijkt in overeenstemming met artikel 48 van Verordening (EU) 2016/679 dat rechterlijke uitspraken en besluiten van een administratieve autoriteit van een derde land op grond waarvan persoonsgegevens moeten worden doorgeven of verstrekt, alleen op enigerlei wijze mogen worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde land en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.
Artikel 51 bouwt voort op artikel 49 van Verordening (EU) 2016/679. Het preciseert de afwijkingen die ten aanzien van gegevensdoorgifte mogelijk zijn. Dit heeft in het bijzonder betrekking op gegevensdoorgifte die noodzakelijk is om gewichtige redenen van algemeen belang, zoals in geval van internationale doorgifte van gegevens tussen mededingingsautoriteiten, belasting- of douanediensten, of diensten die bevoegd zijn voor sociale zekerheid of visserijbeheer. Lid 5 van artikel 51, waarin wordt bepaald dat de Europese Toezichthouder in kennis moet worden gesteld van categorieën gevallen waarin deze afwijkingen met het oog op gegevensdoorgifte zijn toegepast, is gebaseerd op artikel 9, lid 8, van Verordening (EG) nr. 45/2001.
Artikel 52 is gebaseerd op artikel 50 van Verordening (EU) 2016/679. Het voorziet uitdrukkelijk in procedures voor internationale samenwerking voor de bescherming van persoonsgegevens tussen de Europese toezichthouder (samen met de Commissie en het Europees Comité voor gegevensbescherming) en de toezichthoudende autoriteiten van derde landen.
HOOFDSTUK VI – EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING
Artikel 53 bouwt voort op artikel 41 van Verordening (EG) nr. 45/2001 en betreft de instelling van de Europese Toezichthouder voor gegevensbescherming.
Artikel 54 bouwt voort op artikel 42 van Verordening (EG) nr. 45/2001 en artikel 3 van Besluit nr. 1247/2002/EG. Het stelt voorschriften vast voor de benoeming van de Europese Toezichthouder door het Europees Parlement en de Raad. Het stelt tevens de duur van diens ambtstermijn vast op vijf jaar.
Artikel 55 bouwt voort op artikel 43 van Verordening (EG) nr. 45/2001 en artikel 1 van Besluit nr. 1247/2002/EG. Het stelt het statuut en de algemene voorwaarden vast voor de uitoefening van het ambt van de Europese Toezichthouder voor gegevensbescherming, diens personeel en de financiële middelen.
Artikel 56 bouwt voort op artikel 52 van Verordening (EU) 2016/679 en artikel 44 van Verordening (EG) nr. 45/2001. Het stelt de voorwaarden vast voor de onafhankelijkheid van de Europese Toezichthouder, rekening houdend met de jurisprudentie van het Hof van Justitie van de Europese Unie.
Artikel 57 bepaalt in overeenstemming met artikel 45 van Verordening (EG) nr. 45/2001 dat voor de Europese Toezichthouder zowel tijdens als na zijn ambtstermijn een beroepsgeheim geldt ten aanzien van vertrouwelijke informatie die hem bij de vervulling van zijn officiële taken ter kennis is gekomen.
Artikel 58 bouwt voort op artikel 57 van Verordening (EU) 2016/679 en artikel 46 van Verordening (EG) nr. 45/2001. Het bepaalt de taken van de Europese Toezichthouder, waaronder het behandelen en onderzoeken van klachten en het bevorderen van de bekendheid van het publiek met de risico’s, regels, waarborgen en rechten.
Artikel 59 bouwt voort op artikel 58 van Verordening (EU) 2016/679 en artikel 47 van Verordening (EG) nr. 45/2001 en bepaalt de bevoegdheden van de Europese Toezichthouder.
Artikel 60 bouwt voort op artikel 59 van Verordening (EU) 2016/679 en artikel 48 van Verordening (EG) nr. 45/2001 en bepaalt dat de Europese Toezichthouder jaarlijks een verslag over zijn activiteiten moet opstellen.
HOOFDSTUK VII – SAMENWERKING EN COHERENTIE
Artikel 61 bouwt voort op artikel 61 van Verordening (EU) 2016/679 en artikel 46, onder f), van Verordening (EG) nr. 45/2001. Het bevat uitdrukkelijke voorschriften betreffende de samenwerking tussen de Europese Toezichthouder en de nationale toezichthoudende autoriteiten.
Artikel 62 voorziet in de verplichtingen van de Europese Toezichthouder op het gebied van gecoördineerd toezicht samen met de nationale toezichthoudende autoriteiten wanneer in andere handelingen van de Unie naar dit artikel wordt verwezen. De bedoeling van dit artikel is een standaardmodel voor gecoördineerd toezicht te bieden. Dit model zou kunnen worden gebruikt voor het gecoördineerde toezicht op grootschalige IT-systemen zoals Eurodac, het Schengeninformatiesysteem II, het Visuminformatiesysteem, het Douane-informatiesysteem of het Informatiesysteem interne markt, maar ook voor het toezicht op bepaalde agentschappen van de Unie ten aanzien waarvan een specifiek samenwerkingsmodel tussen de Europese Toezichthouder en de nationale autoriteiten is ingesteld, zoals Europol. Het Europees Comité voor gegevensbescherming moet fungeren als centraal forum voor doeltreffend gecoördineerd toezicht over de hele linie.
HOOFDSTUK VIII – BEROEP, AANSPRAKELIJKHEID EN SANCTIES
Artikel 63 bouwt voort op artikel 77 van Verordening (EU) 2016/679 en artikel 32 van Verordening (EG) nr. 45/2001. Het bepaalt dat iedere betrokkene het recht heeft een klacht in te dienen bij de Europese Toezichthouder. Het bepaalt tevens dat de Europese Toezichthouder de klager binnen drie maanden in kennis moet stellen van de voortgang en het resultaat van de klacht; zo niet wordt dit gelijkgesteld met afwijzing van de klacht.
Artikel 64 is gebaseerd op artikel 32, lid 1, van Verordening (EG) nr. 45/2001, waarin wordt bepaald dat het Hof van Justitie van de Europese Unie bevoegd is kennis te nemen van alle geschillen over deze verordening, vorderingen tot schadevergoeding daaronder begrepen.
Artikel 65 betreft het recht op vergoeding van zowel materiële als immateriële schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden betreffende onder meer aansprakelijkheid.
Artikel 66 bouwt voort op artikel 83 van Verordening (EU) 2016/679. Het geeft de Europese Toezichthouder de bevoegdheid om instellingen en organen van de Unie als sanctie in laatste instantie administratieve geldboeten op te leggen, maar uitsluitend als een instelling of orgaan van de Unie geen gehoor geeft aan hetgeen de Europese Toezichthouder voor gegevensbescherming gelast overeenkomstig artikel 59, lid 2, onder a) tot en met h) en j). Het artikel bepaalt tevens de criteria voor de vaststelling van de hoogte van de administratieve geldboete in elk concreet geval, terwijl voor de vaststelling van de jaarlijkse maxima rekening is gehouden met de hoogte van de in bepaalde lidstaten geldende boetes.
Artikel 67 bepaalt in overeenstemming met artikel 80, lid 1, van Verordening (EU) 2016/679 dat bepaalde organen, organisaties of verenigingen een klacht namens de betrokkene mogen indienen.
Artikel 68 voorziet in overeenstemming met artikel 33 van Verordening (EG) nr. 45/2001 in specifieke bepalingen ter bescherming van personeelsleden van de Unie die zonder de officiële kanalen te volgen een klacht indienen bij de Europese Toezichthouder wegens vermeende inbreuk op de bepalingen van deze verordening.
Artikel 69 is gebaseerd op artikel 49 van Verordening (EG) nr. 45/2001. Het voorziet in sancties tegen ambtenaren en andere personeelsleden van de Europese Unie die de krachtens deze verordening op hen rustende verplichtingen niet nakomen.
HOOFDSTUK IX – UITVOERINGSHANDELINGEN
Artikel 70 voorziet in de comitéprocedure die is vereist om aan de Commissie uitvoeringsbevoegdheden toe te kennen in gevallen waarin het overeenkomstig artikel 291 VWEU nodig is dat juridisch bindende handelingen van de Unie volgens eenvormige voorwaarden worden uitgevoerd. De onderzoeksprocedure is van toepassing.
HOOFDSTUK X – SLOTBEPALINGEN
Bij artikel 71 worden Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG ingetrokken en bepaald dat verwijzingen naar de ingetrokken handelingen moeten worden gelezen als verwijzingen naar de onderhavige verordening.
Artikel 72 bepaalt dat deze verordening de huidige ambtstermijnen van de Europese Toezichthouder voor gegevensbescherming en de adjunct-toezichthouder onverlet laat en dat artikel 54, leden 4, 5 en 7, en de artikelen 56 en 57 van deze verordening gelden voor de huidige adjunct-toezichthouder tot het verstrijken van diens ambtstermijn op 5 december 2019.
In artikel 73 wordt bepaald dat de verordening met ingang van 25 mei 2018 van toepassing is, met het oog op de samenhang met de datum met ingang waarvan Verordening (EU) Verordening (EU) 2016/679 van toepassing is.