
				Meer info

30/07/18 GDPR-wet
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

Titel 2 De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde overheden met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid

Hoofdstuk I Algemene bepalingen

Artikel 25

Deze titel voorziet in de omzetting van de richtlijn 2016/680/EU van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad.

Artikel 26

Voor de toepassing van deze titel wordt verstaan onder:

1°

“persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, hierna genoemd “de betrokkene”; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2°

“verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

3°

“verwerkingsbeperking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

4°

“profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen van deze natuurlijke persoon te analyseren of te voorspellen;

5°

“pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

6°

“bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

7°

“bevoegde overheden”:

a): de politiediensten in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politie gestructureerd op twee niveaus;
b): de gerechtelijke overheden, te verstaan als de gemeenrechtelijke hoven en rechtbanken en het openbaar ministerie;
c): de Dienst Enquêtes van het Vast Comité van Toezicht op de politiediensten in het kader van zijn gerechtelijke opdrachten zoals bedoeld in artikel 16, 3e lid van de organieke wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse;
d): de Algemene Inspectie van de federale politie en van de lokale politie bedoeld in artikel 2 van de wet van 15 mei 2007 op de Algemene Inspectie en houdende diverse bepalingen betreffende de rechtspositie van sommige leden van de politiediensten;
e): de Algemene administratie van de douane en accijnzen, in het kader van haar opdracht inzake opsporing, vaststelling en vervolging van de misdrijven zoals bepaald in de algemene wet inzake douane en accijnzen van 18 juli 1977, en in de wet van 22 april 2003 houdende toekenning van de hoedanigheid van officier van gerechtelijke politie aan bepaalde ambtenaren van de administratie der douane en accijnzen;
f): de Passagiersinformatie-eenheid bedoeld in hoofdstuk 7 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens;
g): de Cel voor financiële informatieverwerking bedoeld in artikel 76 van de wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten;
h): de Dienst Enquêtes van het Vast Comité van Toezicht op de inlichtingen- en veiligheidsdiensten in het kader van zijn gerechtelijke opdrachten zoals bedoeld in artikel 40, derde lid, van de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse;
i): [de Dienst Vreemdelingenzaken bij de uitoefening van zijn repressieve bevoegdheden krachtens artikel 81 van de wet van 15 december 1980;]
i): [de penitentiaire administratie in de zin van artikel 2, 11°, van de basiswet van 12 januari 2005 betreffende het gevangeniswezen en de rechtspositie van de gedetineerden in het kader van haar wettelijke opdrachten inzake het uitvoeren van vrijheidsbenemende straffen en maatregelen;]
j): [de diensten van de Federale Overheidsdienst Justitie in het kader van hun wettelijke taken ter ondersteuning van de gerechtelijke overheden bij het beheer van individuele zaken in het kader van strafprocedures, met inbegrip van de tenuitvoerlegging van de straf;]

8°

“verwerkingsverantwoordelijke”: de bevoegde overheid die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer de doeleinden van en de middelen voor die verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verwerkingsverantwoordelijke de entiteit die door of krachtens de wet, het decreet of de ordonnantie als de verwerkingsverantwoordelijke wordt aangewezen;

9°

“verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke of een andere verwerker persoonsgegevens verwerkt;

10°

“ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie of waaraan de persoonsgegevens worden bekendgemaakt. Overheden die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig de wet, het decreet of de ordonnantie, gelden echter niet als ontvangers; de verwerking van die persoonsgegevens door deze overheidsinstanties voldoet aan de toepasselijke regels inzake gegevensbescherming overeenkomstig de doeleinden van de verwerking;

11°

“inbreuk op de beveiliging”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

12°

“genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

13°

“biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

14°

“gezondheidsgegevens”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, met inbegrip van de persoonsgegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven;

15°

“toezichthoudende autoriteit”: de onafhankelijke overheidsinstantie die bij wet belast is met het toezicht op de toepassing van deze titel;

16°

“internationale organisatie”: een organisatie en de daaronder vallende internationaal publiekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen;

17°

“internationale overeenkomst”: elke van kracht zijnde bilaterale of multilaterale internationale overeenkomst tussen lidstaten van de Europese Unie en derde landen op het gebied van justitiële samenwerking en/of politiële samenwerking.

Artikel 27

Deze titel is van toepassing op de verwerkingen van persoonsgegevens door de bevoegde overheden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

Hoofdstuk II Beginselen van verwerking

Artikel 28

De persoonsgegevens:

1°: worden rechtmatig en eerlijk verwerkt;
2°: worden voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt;
3°: zijn toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt;
4°: zijn juist en worden zo nodig geactualiseerd; alle redelijke maatregelen worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;
5°: worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt;
6°: worden met gebruikmaking van passende technische of organisatorische maatregelen op een dusdanige manier verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Artikel 29

§ 1

Verdere verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een doeleinde vermeld in artikel 27, ander dan dat waarvoor de persoonsgegevens werden verzameld, is toegelaten voor zover:

1°: de verwerkingsverantwoordelijke overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst gemachtigd is deze persoonsgegevens voor een dergelijk doeleinde te verwerken; en
2°: de verwerking noodzakelijk is en in verhouding staat overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.

§ 2

De persoonsgegevens kunnen niet verder verwerkt worden door dezelfde of een andere verwerkingsverantwoordelijke voor een ander doeleinde dan dat waarvoor de persoonsgegevens werden verzameld, indien dat doeleinde niet ondergebracht kan worden onder de doeleinden vermeld in artikel 27, tenzij deze verdere verwerking is toegestaan overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.

§ 3

Wanneer de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst specifieke voorwaarden oplegt voor de verwerking, stelt de bevoegde overheid die de gegevens doorzendt, de ontvanger van die persoonsgegevens in kennis van de voorwaarden en de verplichting om die na te leven.

§ 4

De bevoegde overheden die de gegevens doorzenden aan de ontvangers in de andere lidstaten van de Europese Unie, mogen geen bijkomende specifieke voorwaarden doen gelden dan degene die gelden voor de nationale gegevensdoorgifte.

§ 5

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van dit artikel en kan de naleving ervan aantonen.

Artikel 30

Behoudens de gevallen waarin de maximale bewaartermijn van de gegevens wordt bepaald in de Europese regelgeving of de internationale overeenkomst die de basis vormt voor de betrokken bewaring, bepaalt de wet, het decreet of de ordonnantie de maximale bewaartermijn. Na afloop van die termijn worden de gegevens gewist.

In afwijking van het eerste lid kan de wet, het decreet of de ordonnantie voorzien dat na afloop van een eerste bewaartermijn een analyse moet worden uitgevoerd op basis van verschillende noodzakelijkheids- en proportionaliteitscriteria om te bepalen of het nodig is dat de gegevens bewaard blijven, en in voorkomend geval, de nieuwe bewaartermijn.

In dat geval voorziet de wet, het decreet of de ordonnantie in een maximale bewaartermijn.

Artikel 31

De verwerkingsverantwoordelijke maakt in voorkomend geval en voor zover mogelijk een duidelijk onderscheid tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals:

1°: personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen;
2°: personen die voor een strafbaar feit zijn veroordeeld;
3°: slachtoffers van een strafbaar feit, of personen ten aanzien van wie bepaalde feiten aanleiding geven tot het vermoeden dat zij het slachtoffer zouden kunnen worden van een strafbaar feit;
4°: andere personen die bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafrechtelijke procedure, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een van de personen bedoeld in de bepalingen onder 1° en 2°.

Artikel 32

§ 1

Persoonsgegevens die op feiten zijn gebaseerd, worden voor zover mogelijk onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.

§ 2

De bevoegde overheden nemen alle redelijke maatregelen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar worden gesteld. Daartoe controleert iedere bevoegde overheid, voor zover mogelijk, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar worden gesteld.

Voor zover mogelijk wordt bij de doorzending van persoonsgegevens te allen tijde de noodzakelijke aanvullende informatie worden toegevoegd aan de hand waarvan de ontvangende bevoegde overheid de mate van juistheid, volledigheid en betrouwbaarheid van persoonsgegevens kan beoordelen, alsmede de mate waarin ze actueel zijn.

§ 3

Indien blijkt dat onjuiste persoonsgegevens zijn doorgezonden, of dat de persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de persoonsgegevens gerectificeerd of gewist, of wordt de verwerking beperkt overeenkomstig artikel 39.

Artikel 33

§ 1

De verwerking is rechtmatig indien:

1°: ze noodzakelijk is voor de uitvoering van een opdracht uitgevoerd door een overheid bevoegd voor de in artikel 27, bedoelde doeleinden; en
2°: ze gebaseerd is op een wettelijke of reglementaire verplichting.

§ 2

De wettelijke of reglementaire verplichting regelt ten minste de categorieën van persoonsgegevens die verwerkt moeten worden en de doeleinden van de verwerking.

Artikel 34

§ 1

Verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is en geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en enkel in een van de volgende gevallen:

1°: wanneer de verwerking door de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst is toegestaan;
2°: wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere natuurlijke persoon;
3°: wanneer de verwerking betrekking heeft op gegevens die kennelijk openbaar zijn gemaakt door de betrokkene.

§ 2

De passende waarborgen zoals bedoeld in paragraaf 1 voorzien ten minste in dat de bevoegde overheid of de verwerkingsverantwoordelijke een lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens opstelt, met een beschrijving van hun hoedanigheid ten opzichte van de verwerking van de beoogde gegevens. Deze lijst wordt ter beschikking gehouden van de bevoegde toezichthoudende autoriteit.

De bevoegde overheid waakt erover dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijke karakter van de betrokken gegevens in acht te nemen.

Artikel 35

Uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, zijn toegestaan als de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, met inbegrip van ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.

Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 34 bedoelde bijzondere categorieën van persoonsgegevens, is verboden.

Hoofdstuk III Rechten van de betrokkene

Artikel 36

§ 1

De verwerkingsverantwoordelijke neemt passende maatregelen om de in artikel 37 bedoelde informatie te verstrekken en mededelingen te doen bedoeld in de artikelen 35, 38 tot 41 en artikel 62 in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. De informatie wordt op elke passende manier, ook elektronisch, verstrekt. Over het algemeen, verstrekt de verwerkingsverantwoordelijke de informatie in dezelfde vorm als het verzoek.

§ 2

De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 35 en 38 tot 41.

§ 3

De verwerkingsverantwoordelijke of de toezichthoudende autoriteit, in het geval bedoeld in artikel 41, informeert de betrokkene schriftelijk, zonder onnodige vertraging met betrekking tot de opvolging van zijn verzoek.

§ 4

Eenieder heeft het recht om kosteloos de informatie bedoeld in artikel 37, te verkrijgen en de maatregelen bedoeld in de artikelen 35, 38 tot 41 en 62, te laten nemen. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:

1°: een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het nemen van de gevraagde maatregelen gepaard gaan; ofwel
2°: weigeren gevolg te geven aan het verzoek.

Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

§ 5

Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het in artikel 38 of 39 bedoelde verzoek indient, kan hij om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.

Artikel 37

§ 1

Teneinde de betrokkene de mogelijkheid te bieden zijn recht op informatie uit te oefenen, stelt de verwerkingsverantwoordelijke de betrokkene de volgende informatie ter beschikking:

1°: de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
2°: in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
3°: de doeleinden van de verwerking;
4°: het bestaan van het recht om klacht in te dienen bij de toezichthoudende autoriteit, en de contactgegevens van voornoemde autoriteit;
5°: het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om toegang tot en rectificatie of wissing van hem betreffende persoonsgegevens, en beperking van de verwerking van hem betreffende persoonsgegevens;
6°: de rechtsgrond van de verwerking;
7°: de termijn gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
8°: in voorkomend geval, de categorieën van ontvangers van de persoonsgegevens;
9°: indien noodzakelijk, bijkomende informatie, in het bijzonder wanneer de persoonsgegevens zonder medeweten van de betrokkene worden verzameld.

§ 2

De in paragraaf 1 bedoelde informatie kan bij wet worden uitgesteld of beperkt dan wel achterwege worden gelaten, voor zover een dergelijke maatregel in een democratische samenleving, met naar behoren inachtneming van de fundamentele rechten en de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

1°: belemmering van strafrechtelijke of andere gereglementeerde onderzoeken, opsporingen of procedures te voorkomen;
2°: nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;
3°: de openbare veiligheid te beschermen;
4°: de nationale veiligheid te beschermen;
5°: de rechten en vrijheden van anderen te beschermen.

§ 3

Behoudens de gevallen waarin de Europese regelgeving of de internationale overeenkomst dit bepaalt, kan de wet, het decreet of de ordonnantie bepalen welke verwerkingscategorieën geheel of gedeeltelijk onder één van de punten opgesomd in paragraaf 2 kunnen vallen.

§ 4

De rechten bedoeld in dit hoofdstuk, voor wat betreft de gegevensverwerkingen van de hoven en rechtbanken van het gemeen recht en het openbaar ministerie, worden uitsluitend uitgeoefend binnen de grenzen en conform de regels en nadere regels van het Gerechtelijk Wetboek, het Wetboek van strafvordering, de bijzondere wetten die betrekking hebben op de strafrechtspleging en de uitvoeringsbesluiten ervan.

Artikel 38

§ 1

Teneinde de betrokkene de mogelijkheid te bieden zijn recht op verzoek tot toegang tot zijn persoonsgegevens uit te oefenen, stelt de verwerkingsverantwoordelijke de betrokkene de volgende informatie ter beschikking:

1°: de bevestiging dat de hem betreffende persoonsgegevens al dan niet worden verwerkt en toegang tot die gegevens;
2°: de doeleinden en de rechtsgrond van de verwerking;
3°: de betreffende categorieën van persoonsgegevens;
4°: de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn bekendgemaakt;
5°: de bewaartermijn, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
6°: dat hij het recht heeft van de verwerkingsverantwoordelijke de rectificatie of wissing van hem betreffende persoonsgegevens of beperking van verwerking van hem betreffende persoonsgegevens te vragen;
7°: dat hij het recht heeft klacht in te dienen bij de toezichthoudende autoriteit, en de contactgegevens van deze autoriteit;
8°: de persoonsgegevens die worden verwerkt, en alle beschikbare informatie over de oorsprong van die gegevens.

§ 2

De wet, het decreet of de ordonnantie kan het recht op toegang van de betrokkene geheel of gedeeltelijk beperken, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

1°: belemmering van strafrechtelijke of andere gereglementeerde onderzoeken, opsporingen of procedures te voorkomen;
2°: nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;
3°: de openbare veiligheid te beschermen;
4°: de nationale veiligheid te beschermen;
5°: de rechten en vrijheden van anderen te beschermen.

§ 3

In de in paragraaf 2 bedoelde gevallen stelt de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis van een eventuele weigering of beperking van de toegang en van de redenen voor die weigering of beperking. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan een van de doeleinden van paragraaf 2 zou ondermijnen. De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de bevoegde toezichthoudende autoriteit of om een beroep in te stellen bij de rechter.

§ 4

De verwerkingsverantwoordelijke documenteert de feitelijke of juridische redenen die aan het besluit ten grondslag liggen. Die informatie wordt ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.

Artikel 39

§ 1

De betrokkene heeft het recht om zonder onnodige vertraging van de verwerkingsverantwoordelijke de rectificatie en eventueel de aanvulling te verkrijgen van hem betreffende onjuiste persoonsgegevens.

§ 2

De verwerkingsverantwoordelijke wist de persoonsgegevens zonder onnodige vertraging wanneer de verwerking indruist tegen de bepalingen goedgekeurd krachtens artikelen 28, 29, 33 of 34 of wanneer de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke gehouden is.

§ 3

In plaats van tot wissing over te gaan, mag de verwerkingsverantwoordelijke de verwerking beperken wanneer:

1°: de juistheid van de persoonsgegevens door de betrokkene wordt betwist en niet kan worden geverifieerd of de gegevens al dan niet juist zijn; of
2°: de persoonsgegevens als bewijsmateriaal moeten worden bewaard.

Wanneer de verwerking op grond van het eerste lid, 1°, van het eerste lid wordt beperkt, informeert de verwerkingsverantwoordelijke de betrokkene alvorens de verwerkingsbeperking op te heffen.

§ 4

De verwerkingsverantwoordelijke stelt de betrokkene schriftelijk in kennis van een eventuele weigering tot rectificatie of wissing van persoonsgegevens of verwerkingsbeperking, en van de redenen voor die weigering. Deze informatie kan bij wet, decreet of ordonnantie, worden beperkt, voor zover een dergelijke verwerkingsbeperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

1°: belemmering van strafrechtelijke of andere gereglementeerde onderzoeken, opsporingen of procedures te voorkomen;
2°: nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;
3°: de openbare veiligheid te beschermen;
4°: de nationale veiligheid te beschermen;
5°: de rechten en vrijheden van anderen te beschermen.

De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de bevoegde toezichthoudende autoriteit of om beroep in rechte in te stellen.

§ 5

De verwerkingsverantwoordelijke deelt de rectificatie van de onjuiste persoonsgegevens mee aan de overheid van wie de onjuiste persoonsgegevens afkomstig zijn.

§ 6

In geval van rectificatie, wissing of verwerkingsbeperking bedoeld in paragrafen 1 tot 3, stelt de verwerkingsverantwoordelijke de ontvangers daarvan in kennis, en rectificeren of wissen de ontvangers de persoonsgegevens of beperken ze de onder hun bevoegdheid vallende verwerking van persoonsgegevens.

Artikel 40

De verwerkingsverantwoordelijke die een verzoek ontvangt om een recht uit te oefenen bedoeld in de artikelen 36 tot 39, bezorgt de verzoeker onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek een gedagtekend ontvangstbewijs.

Artikel 41

In de in de artikelen 37, § 2, 38, § 2, 39, § 4, en 62, § 1, bedoelde gevallen, kan de wet, het decreet of de ordonnantie, bepalen dat de rechten van de betrokkene door de bevoegde toezichthoudende autoriteit worden uitgeoefend, met respect voor de principes van noodzakelijkheid en proportionaliteit in een democratische samenleving.

Onverminderd artikel 44, in het geval bedoeld in het eerste lid stelt de verwerkingsverantwoordelijke de betrokkene ervan in kennis dat hij zijn rechten door de bevoegde toezichthoudende autoriteit uitoefent.

In het geval bedoeld in het eerste lid, dient de betrokkene het verzoek om zijn rechten uit te oefenen in bij de bevoegde toezichthoudende autoriteit.

Artikel 42

Het verzoek tot uitoefening van de rechten bedoeld in dit hoofdstuk voor wat betreft de politiedienst in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politie gestructureerd op twee niveaus of de algemene inspectie van de federale politie en de lokale politie, wordt aan de toezichthoudende autoriteit bedoeld in artikel 71 gericht.

In de in de artikelen 37, § 2, 38, § 2, 39, § 4, en 62, § 1, bedoelde gevallen deelt de toezichthoudende autoriteit bedoeld in artikel 71 uitsluitend mee aan de betrokkene dat de nodige verificaties werden verricht.

Niettegenstaande het tweede lid kan de toezichthoudende autoriteit bedoeld in artikel 71 aan de betrokkene bepaalde contextuele informatie verstrekken.

De Koning, na advies van de toezichthoudende autoriteit bedoeld in artikel 71, bepaalt de categorieën van contextuele informatie die door deze toezichthoudende autoriteit aan de betrokkene kunnen worden medegedeeld.

Artikel 43

Voor wat betreft de gegevensverwerkingen van de douanediensten bedoeld in artikel 26, 7°, e), en de Cel voor financiële informatieverwerking bedoeld in artikel 26, 7°, g), worden de rechten van de betrokkene zoals bedoeld in dit hoofdstuk uitgeoefend door de bevoegde toezichthoudende autoriteit.

De bevoegde toezichthoudende autoriteit deelt uitsluitend aan de betrokkene mede dat de nodige verificaties werden verricht.

In afwijking van het tweede lid kan de bevoegde toezichthoudend autoriteit aan de betrokkene bepaalde contextuele informatie verstrekken.

De Koning bepaalt na advies van de bevoegde toezichthoudende autoriteit de categorieën van contextuele informatie die door de bevoegde toezichthoudende autoriteit aan de betrokkene kunnen worden medegedeeld.

Artikel 44

Wanneer de persoonsgegevens in een rechterlijke beslissing of een gerechtelijk dossier zijn opgenomen of in het kader van strafrechtelijke onderzoeken en procedures worden verwerkt, worden de in de artikelen 37, 38, § 1, 39 en 41, tweede lid, bedoelde rechten uitgeoefend overeenkomstig het Gerechtelijk Wetboek, het Wetboek van strafvordering, de bijzondere wetten die betrekking hebben op de strafrechtspleging en de uitvoeringsbesluiten ervan.

Artikel 45

§ 1

De artikelen 36 tot 44 en 62 zijn niet van toepassing op de verwerkingen van persoonsgegevens die rechtstreeks of onrechtstreeks afkomstig zijn van de overheden bedoeld in titel 3 van deze wet, met betrekking tot de verwerkingsverantwoordelijken en de bevoegde overheden bedoeld in deze titel naar wie deze gegevens werden overgebracht.

§ 2

De verwerkingsverantwoordelijke of de bevoegde overheid bedoeld in deze titel die in het bezit is van zulke gegevens deelt deze niet mee aan de betrokkene tenzij:

1°: de wet hem hiertoe verplicht in het kader van een geschillenprocedure; of
2°: de betrokken overheid bedoeld in titel 3 hem dit toestaat.

§ 3

De verwerkingsverantwoordelijke of de bevoegde overheid deelt niet mee dat hij of zij in het bezit is van gegevens die van overheden bedoeld in titel 3 afkomstig zijn.

§ 4

De verwerkingsverantwoordelijke bedoeld in deze titel die gegevens verwerkt die rechtstreeks of onrechtstreeks afkomstig zijn van de overheden bedoeld in titel 3 beantwoordt minstens aan de volgende voorwaarden:

1°: hij neemt nemen de gepaste technische of organisatorische maatregelen om ervoor te zorgen dat de toegang tot de gegevens en de verwerkingsmogelijkheden beperkt zijn tot hetgeen de personen nodig hebben om hun functies uit te oefenen of tot hetgeen nodig is voor de behoeften van de autoriteit bedoeld in titel 3;
2°: hij neemt de gepaste technische of organisatorische maatregelen om de persoonsgegevens te beschermen tegen toevallige of niet-toegestane vernietiging, tegen toevallig verlies en tegen wijziging of elke andere niet-toegestane verwerking van die gegevens.

De leden van het personeel van de verwerkingsverantwoordelijke die de gegevens bedoeld in het eerste lid verwerken, zijn gebonden door de discretieplicht.

§ 5

De beperkingen bedoeld in paragraaf 1 hebben eveneens betrekking op de logbestanden van de verwerkingen van een overheid bedoeld in titel 3 in de gegevensbanken van de verwerkingsverantwoordelijken en van de bevoegde overheden bedoeld in deze titel waartoe de overheid bedoeld in titel 3 rechtstreeks toegang heeft.

§ 6

Wanneer een verzoek of een klacht aanhangig wordt gemaakt bij de bevoegde toezichthoudende autoriteit waarbij de verwerkingsverantwoordelijke zich beroept op de toepassing van dit artikel, wendt deze toezichthoudende autoriteit zich tot het Vast Comité I opdat het de nodige verificaties bij de overheid bedoeld in titel 3 verricht.

Na ontvangst van het antwoord van het Vast Comité I brengt de bevoegde toezichthoudende autoriteit de betrokkene enkel op de hoogte van de resultaten van de verificatie, die betrekking hebben op persoonsgegevens die niet van een overheid bedoeld in titel 3 afkomstig zijn, die ze wettelijk gehouden is mee te delen.

Indien het verzoek of de klacht enkel betrekking heeft op persoonsgegevens afkomstig van een overheid bedoeld in titel 3, antwoordt de bevoegde toezichthoudende autoriteit, na ontvangst van het antwoord van het Vast Comité I, dat de nodige verificaties werden verricht.

Artikel 46

Een verwerkingsverantwoordelijke of een bevoegde overheid bedoeld in deze titel die persoonsgegevens meedeelt aan een overheid bedoeld in ondertitels 2 en 4 van titel 3 van deze wet is niet onderworpen aan de artikelen 37, § 1, 8° en 38, § 1, 4° en mag de betrokkene niet van deze overdracht op de hoogte brengen.

Artikel 47

Wanneer een overheid bedoeld in ondertitels 1 en 6 van titel 3 van deze wet over een rechtstreekse toegang of over een rechtstreekse bevraging van een gegevensbank van de publieke sector beschikt, wordt de verwerking van de persoonsgegevens beschermd door technische, organisatorische en persoonlijke beveiligingsmaatregelen zodat alleen de volgende actoren toegang kunnen hebben tot de inhoud van deze verwerkingen in het kader van de doeleinden bedoeld in artikel 56, § 2:

1°: de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke van de gegevensbank of de persoon die hij daartoe machtigt;
2°: de functionaris voor gegevensbescherming van de overheid bedoeld in ondertitels 1 en 6 van titel 3;
3°: de verwerkingsverantwoordelijke van de gegevensbank of de persoon die hij daartoe machtigt;
4°: de verwerkingsverantwoordelijke van de overheid bedoeld in ondertitels 1 en 6 van titel 3;
5°: elke andere persoon bepaald in een protocol tussen de verwerkingsverantwoordelijken, voor wie de toegang noodzakelijk is om de wettelijke toezichtsopdrachten te vervullen.

De beveiligingsmaatregelen bedoeld in het eerste lid zijn bedoeld om de wettelijke verplichtingen met betrekking tot de bescherming van bronnen, de bescherming van de identiteit van de agenten of het geheim van de onderzoeken van de overheden bedoeld in titel 3, ondertitels 1 en 6, na te komen.

De verwerkingen bedoeld in het eerste lid mogen enkel toegankelijk zijn voor andere doeleinden dan diegene die verband houden met het toezicht indien deze doeleinden, uit de door of krachtens een wet vastgelegde doeleinden, zijn vastgelegd in een protocolakkoord tussen de betrokken verwerkingsverantwoordelijken.

Het protocolakkoord bedoeld in het derde lid wijst de persoon of de personen aan waarvoor de toegang tot de logbestanden noodzakelijk is om elk van de doeleinden vermeld in het derde lid te vervullen.

De logbestanden en de daaraan gekoppelde technische, organisatorische en persoonlijke veiligheidsmaatregelen worden ter beschikking gesteld van het Vast Comité I.

De betrokken overheid bedoeld in ondertitels 1 en 6 van titel 3 kan afwijken van het eerste lid wanneer de toegang tot haar verwerkingen in een gegevensbank en tot de logbestanden hiervan geen afbreuk kan doen aan de belangen bedoeld in het tweede lid.

Artikel 48

Een verwerkingsverantwoordelijke bedoeld in deze titel die persoonsgegevens meedeelt aan een gezamenlijke databank mag de betrokkene niet van deze overdracht op de hoogte brengen.

Onder “gezamenlijke databank” wordt het gemeenschappelijk uitoefenen van de opdrachten uitgevoerd in het kader van titels 2 en 3 door meerdere overheden, gestructureerd met behulp van geautomatiseerde procedés en toegepast op persoonsgegevens, bedoeld.

Artikel 49

De artikelen 36 tot 44 en 62 zijn niet van toepassing op de verwerkingen van persoonsgegevens door de Passagiersinformatie-eenheid.

De verwerkingsverantwoordelijke deelt de gegevens bedoeld in het eerste lid niet mee aan de betrokkene tenzij de wet hem hiertoe verplicht in het kader van een geschillenprocedure.

De verwerkingsverantwoordelijke doet geen enkele melding aan de betrokkene dat hij in het bezit is van gegevens die betrekking hebben op hem.

De beperkingen bedoeld in het eerste lid hebben eveneens betrekking op de logbestanden van de verwerkingen door de Passagiersinformatie-eenheid, in de gegevensbanken van de verwerkingsverantwoordelijken bedoeld in deze titel.

Wanneer een verzoek of een klacht aanhangig wordt gemaakt bij de bevoegde toezichthoudende autoriteit waarbij de verwerkingsverantwoordelijke zich beroept op de toepassing van dit artikel, antwoordt deze alleen dat de nodige verificaties zijn verricht.

Hoofdstuk IV Verwerkingsverantwoordelijke en verwerker

Afdeling 1 Organisatorische en technische maatregelen

Artikel 50

Rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten deze maatregelen de uitvoering van een passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke kan aantonen dat de verwerking in overeenstemming met de wet wordt uitgevoerd.

Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

Artikel 51

§ 1

Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, dienen de technische en organisatorische maatregelen, bedoeld in artikel 50, om de gegevensbeschermingsbeginselen op een doeltreffende manier door te voeren en de nodige waarborgen in de verwerking in te bouwen ter bescherming van de rechten van de betrokkenen, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf.

§ 2

De technische en organisatorische maatregelen bedoeld in artikel 50 waarborgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerkingen.

In het bijzonder waarborgen deze maatregelen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

Afdeling 2 Gezamenlijke verwerkingsverantwoordelijken

Artikel 52

Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.

Een onderlinge regeling stelt op transparante wijze de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en om de in de artikelen 37 en 38 bedoelde informatie te verstrekken, tenzij hun respectieve verantwoordelijkheden zijn vastgesteld bij de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.

In de onderlinge regeling kan één enkel contactpunt voor de betrokkenen worden aangewezen.

Afdeling 3 Verwerker

Artikel 53

§ 1

Indien de verwerking wordt toevertrouwd aan een verwerker, kiest de verwerkingsverantwoordelijke een verwerker die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen.

§ 2

De verwerker neemt een andere verwerker in dienst met voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke.

In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

§ 3

De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.

Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

1°: uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt;
2°: ervoor zorgt dat personen die gemachtigd zijn de persoonsgegevens te verwerken zich ertoe hebben verplicht geheimhouding in acht te nemen of door een passende wettelijke verplichting van geheimhouding gebonden zijn;
3°: de verwerkingsverantwoordelijke met passende middelen bijstaat om de naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren;
4°: na afloop van de gegevensverwerkingsdiensten, alle persoonsgegevens wist of die terugbezorgt aan de verwerkingsverantwoordelijke, en bestaande kopieën verwijdert, tenzij de bewaring van de persoonsgegevens verplicht is bij de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst;
5°: aan de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de naleving van dit artikel aan te tonen;
6°: aan de in de paragrafen 2 en 3 bedoelde voorwaarden voor indienstneming van een andere verwerker voldoet.

§ 4

De in paragraaf 3 bedoelde overeenkomst of andere rechtshandeling is gesteld in schriftelijke vorm, daaronder begrepen in elektronische vorm.

§ 5

Indien een verwerker in strijd met deze titel de doeleinden en middelen van de verwerking bepaalt, wordt die verwerker met betrekking tot deze verwerking als de verwerkingsverantwoordelijke beschouwd.

Artikel 54

De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt die uitsluitend in opdracht van de verwerkingsverantwoordelijke, of krachtens de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.

Afdeling 4 Verplichtingen

Artikel 55

§ 1

Elke verwerkingsverantwoordelijke en verwerker houdt een register bij van de categorieën van verwerkingsactiviteiten die onder zijn verantwoordelijkheid worden verricht. Dat register bevat de volgende elementen:

1°: de naam en de contactgegevens van de verwerkingsverantwoordelijke of de verwerker, en van zijn gedelegeerde of vertegenwoordiger;
2°: de naam en de contactgegevens van de functionaris voor gegevensbescherming;
3°: de verwerkingsdoeleinden;
4°: de categorieën van betrokkenen;
5°: de categorieën van persoonsgegevens;
6°: de categorieën van ontvangers;
7°: de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in voorkomend geval, de documenten getuigen van het bestaan van passende waarborgen;
8°: de beoogde termijnen voor het wissen van de verschillende gegevenscategorieën;
9°: een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 50;
10°: het gebruik van profilering;
11°: de rechtsgrondslag;
12°: de categorie van externe bronnen;
13°: het protocol bedoeld in artikel 20 evenals het advies van de functionaris voor gegevensbescherming en de motivering bedoeld in artikel 22.

§ 2

De functionaris voor gegevensbescherming wordt betrokken bij de uitwerking en het bijhouden van het register.

§ 3

Het register wordt ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.

Artikel 56

§ 1

De logbestanden van tenminste de volgende verwerkingen worden bijgehouden in systemen voor geautomatiseerde verwerking: de verzameling, wijziging, raadpleging, bekendmaking, met inbegrip van de doorgiften, de combinatie en de wissing.

De logbestanden van de raadpleging en de bekendmaking maken het mogelijk om het volgende te achterhalen:

1°: de redenen, de datum en het tijdstip van die verwerkingen;
2°: de categorieën van personen die persoonsgegevens hebben geraadpleegd, en indien mogelijk, de identiteit van de persoon die persoonsgegevens heeft geraadpleegd;
3°: de systemen die deze persoonsgegevens bekendgemaakt hebben;
4°: en de categorieën van de ontvangers van die persoonsgegevens ontvangen, en indien mogelijk, de identiteit van de ontvangers van die persoonsgegevens.

De Koning kan, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van de bevoegde toezichthoudende autoriteit, andere soorten van verwerking bepalen waarvoor logbestanden moeten worden opgesteld.

§ 2

De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de persoonsgegevens en voor doeleinden bedoeld in artikel 27.

§ 3

De verwerkingsverantwoordelijke en de verwerker stellen de logbestanden desgevraagd ter beschikking van de bevoegde toezichthoudende autoriteit.

Artikel 57

De verwerkingsverantwoordelijke en de verwerker werken op verzoek van de bevoegde toezichthoudende autoriteit met deze laatste samen bij het vervullen van haar opdrachten.

Artikel 58

Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert, verricht de verwerkingsverantwoordelijke vóór de verwerking een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.

De in het eerste lid bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico's, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de persoonsgegevens te beschermen en aan te tonen dat aan deze titel is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en de andere belanghebbenden.

Artikel 59

§ 1

De verwerkingsverantwoordelijke of zijn verwerker raadpleegt de bevoegde toezichthoudende autoriteit van de verwerkingsverantwoordelijke voordat de verwerking van persoonsgegevens in een nieuw bestand wordt opgenomen:

1°: indien uit een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 58 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken; of
2°: indien de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van de betrokkenen met zich meebrengt.

De bevoegde toezichthoudende autoriteit wordt geraadpleegd bij het opstellen van een wet, een decreet of een ordonnantie, of een daarop gebaseerde reglementaire maatregel in verband met de verwerking.

§ 2

De bevoegde toezichthoudende autoriteit kan een lijst opstellen van de verwerkingen waarvoor overeenkomstig paragraaf 1 een voorafgaande raadpleging moet plaatsvinden.

§ 3

De verwerkingsverantwoordelijke verstrekt de bevoegde toezichthoudende autoriteit de gegevensbeschermingseffectbeoordeling krachtens artikel 58 en, op verzoek, alle andere informatie op grond waarvan de bevoegde toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico's voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

§ 4

Wanneer de bevoegde toezichthoudende autoriteit van oordeel is dat de in paragraaf 1 bedoelde voorgenomen verwerking indruist tegen deze titel, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft ze binnen de zes weken na ontvangst van het verzoek om raadpleging een niet bindend schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en kan ze al haar bij de wet verleende bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De bevoegde toezichthoudende autoriteit stelt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van elke verlenging, alsook van de redenen voor de vertraging.

Artikel 60

§ 1

De verwerkingsverantwoordelijke en de verwerker nemen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de verwerking van persoonsgegevens bedoeld in artikel 34 van deze wet en rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, om een op het risico afgestemd beveiligingsniveau te waarborgen.

§ 2

Ten aanzien van de geautomatiseerde verwerking neemt de verwerkingsverantwoordelijke of de verwerker, na beoordeling van het risico, maatregelen om:

1°: te verhinderen dat onbevoegden toegang krijgen tot de verwerkingsapparatuur;
2°: te verhinderen dat onbevoegden de gegevensdragers kunnen lezen, kopiëren, wijzigen of verwijderen;
3°: te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen;
4°: te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur;
5°: ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft;
6°: ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur;
7°: ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd;
8°: te verhinderen dat onbevoegden persoonsgegevens kunnen lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers;
9°: ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet;
10°: ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd en dat de bewaarde persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem.

Artikel 61

§ 1

De verwerkingsverantwoordelijke meldt de inbreuk op de beveiliging zonder onnodige vertraging en indien mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen aan de bevoegde toezichthoudende autoriteit. Die verplichte kennisgeving is niet van toepassing wanneer het waarschijnlijk is dat de inbreuk op de beveiliging geen risico voor de rechten en vrijheden van natuurlijke personen met zich brengt.

Wanneer de kennisgeving aan de bevoegde toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat ze vergezeld van een motivering voor de vertraging.

§ 2

De verwerker verwittigt de verwerkingsverantwoordelijke zonder onnodige vertraging en uiterlijk binnen 72 uur zodra hij kennis heeft genomen van een inbreuk op de beveiliging.

§ 3

In de in paragraaf 1 bedoelde melding wordt met name het volgende omschreven of meegedeeld:

1°: de aard van de inbreuk op de beveiliging, met inbegrip van, indien mogelijk de categorieën van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensbestanden in kwestie;
2°: de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
3°: de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
4°: de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk op de beveiliging aan te pakken, met inbegrip, in voorkomend geval maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

§ 4

Indien en voor zover het niet mogelijk is alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige verdere vertraging in stappen worden verstrekt.

§ 5

Wanneer de inbreuk op de beveiliging betrekking heeft op persoonsgegevens die zijn doorgezonden door of aan de verwerkingsverantwoordelijke van een andere lidstaat van de Europese Unie, wordt de in paragraaf 3 bedoelde informatie zonder onnodige vertraging aan de verwerkingsverantwoordelijke van die lidstaat meegedeeld.

§ 6

De verwerkingsverantwoordelijke documenteert alle in paragraaf 1 bedoelde inbreuken op de beveiliging, met inbegrip van de feiten, de gevolgen ervan en de genomen corrigerende maatregelen. Die documentatie moet de bevoegde toezichthoudende autoriteit ertoe in staat stellen de naleving van dit artikel te controleren.

Artikel 62

§ 1

Wanneer de inbreuk op de beveiliging waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk op de beveiliging onverwijld mee.

§ 2

De in paragraaf 1 bedoelde mededeling aan de betrokkene bevat een omschrijving, van de aard van de inbreuk op de beveiliging en ten minste de in artikel 61, § 3, 2° tot 4°, bedoelde gegevens en maatregelen.

§ 3

De in paragraaf 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:

1°: de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk op de beveiliging betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
2°: de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in paragraaf 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
3°: de mededeling zou onevenredige inspanningen vergen.

In het geval bedoeld in het eerste lid, 3°, komt er daarvan een openbare mededeling of een soortgelijke maatregel waarbij de betrokkenen even doeltreffend worden geïnformeerd.

§ 4

Indien de verwerkingsverantwoordelijke de inbreuk op de beveiliging nog niet aan de betrokkene heeft gemeld, kan de bevoegde toezichthoudende autoriteit, na beraad over de kans dat de inbreuk op de beveiliging een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in paragraaf 3 bedoelde voorwaarden is voldaan.

§ 5

De in paragraaf 1 bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege worden gelaten onder de voorwaarden en om de redenen bedoeld in artikel 37, § 2.

Afdeling 5 Functionaris voor gegevensbescherming

Artikel 63

De verwerkingsverantwoordelijke wijst een of meerdere functionarissen voor gegevensbescherming aan.

De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 65 bedoelde taken te vervullen.

Het is mogelijk om voor verschillende bevoegde overheden of verwerkingsverantwoordelijken, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming aan te wijzen.

De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming openbaar en deelt die mee aan de bevoegde toezichthoudende autoriteit.

De nadere regels voor de werking, de aanwijzing en vereiste competenties worden door de Koning bepaald.

Artikel 64

De verwerkingsverantwoordelijke ziet erop toe dat de functionaris voor gegevensbescherming tijdig en naar behoren bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden, wordt betrokken.

De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming de benodigde middelen ter beschikking voor het vervullen van die opdrachten en verschaft hem toegang tot de persoonsgegevens en de verwerkingen, en biedt hem de mogelijkheid zijn deskundigheid op peil te houden.

De verwerkingsverantwoordelijke ziet erop toe dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke.

Behalve bij toepassing van de artikelen 41 en 44 kunnen de betrokkenen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten.

De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn opdrachten tot geheimhouding of vertrouwelijkheid gehouden.

De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

Artikel 65

De functionaris voor gegevensbescherming vervult in het bijzonder de volgende opdrachten:

1°: de verwerkingsverantwoordelijke en de werknemers die de verwerking verrichten informeren en adviseren over hun verplichtingen met betrekking tot de bescherming van persoonsgegevens;
2°: toezien op de naleving van de regelgeving en de interne regels van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de bewustmaking en de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
3°: desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 58;
4°: met de bevoegde toezichthoudende autoriteit samenwerken;
5°: optreden als contactpunt voor de bevoegde toezichthoudende autoriteit inzake met de verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 59 bedoelde voorafgaande raadpleging, en, in voorkomend geval, overleg plegen over enige andere aangelegenheid.

Hoofdstuk V Doorgiften van persoonsgegevens aan derde landen of internationale organisaties

Artikel 66

§ 1

Onverminderd de bepalingen van deze titel, mogen de bevoegde overheden persoonsgegevens slechts doorgeven aan landen buiten de Europese Unie of aan een internationale organisatie, met inbegrip van verdere doorgifte aan een ander land buiten de Europese Unie of een andere internationale organisatie, indien aan de volgende voorwaarden is voldaan:

1°: de doorgifte is noodzakelijk met het oog op de doeleinden van artikel 27;
2°: de persoonsgegevens worden doorgegeven aan een verwerkingsverantwoordelijke in een land buiten de Europese Unie of in een internationale organisatie die een bevoegde overheid is voor de in artikel 27, bedoelde doeleinden;
3°: ingeval persoonsgegevens worden doorgezonden of beschikbaar gesteld vanuit een andere lidstaat van de Europese Unie, heeft die lidstaat overeenkomstig zijn nationale recht zijn voorafgaande toestemming gegeven voor de doorgifte;
4°: de Europese Commissie heeft een adequaatheidsbesluit bedoeld in artikel 67 vastgesteld, of, indien een dergelijk besluit er niet is, zijn er krachtens artikel 68 passende waarborgen geboden of gelden er afwijkingen voor specifieke situaties uit hoofde van artikel 69;
5°: in het geval van een verdere doorgifte aan een ander land buiten de Europese Unie of een andere internationale organisatie, geeft de verwerkingsverantwoordelijke, toestemming voor de verdere doorgifte, na alle relevante factoren naar behoren in aanmerking te hebben genomen, met inbegrip van de ernst van het strafbare feit, het doel waarvoor de persoonsgegevens oorspronkelijk waren doorgegeven en het niveau van persoonsgegevensbescherming in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven.

§ 2

De doorgifte zonder de voorafgaande toestemming vanwege een andere lidstaat van de Europese Unie zoals bedoeld in paragraaf 1, 3°, is slechts toegelaten indien deze doorgifte van persoonsgegevens noodzakelijk is met het oog op de voorkoming van een acute en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat van de Europese Unie, en voorafgaande toestemming niet tijdig kan worden verkregen. De voor het geven van voorafgaande toestemming verantwoordelijke overheid wordt onverwijld in kennis gesteld.

Artikel 67

Een doorgifte van persoonsgegevens aan een land buiten de Europese Unie of een internationale organisatie kan plaatsvinden wanneer de Europese Commissie bij adequaatheidsbesluit bepaald heeft dat het land, een gebied of één of meerdere nader bepaalde sectoren in dat land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.

Artikel 68

§ 1

Bij gebreke van een adequaatheidsbesluit zoals bedoeld in artikel 67, of wanneer dat is opgeheven, gewijzigd of opgeschort, kan een doorgifte van persoonsgegevens aan een land buiten de Europese Unie of een internationale organisatie slechts plaatsvinden wanneer:

1°: in een juridisch bindend instrument wordt voorzien in passende waarborgen voor de bescherming van persoonsgegevens; of
2°: de verwerkingsverantwoordelijke alle omstandigheden in verband met de doorgifte van persoonsgegevens heeft beoordeeld en heeft geconcludeerd dat er passende waarborgen bestaan voor de bescherming van persoonsgegevens.

§ 2

De verwerkingsverantwoordelijke informeert de bevoegde toezichthoudende autoriteit over de categorieën van doorgiften uit hoofde van paragraaf 1, 2°.

§ 3

De doorgifte gebaseerd op paragraaf 1, 2°, wordt gedocumenteerd en bevat:

1°: de datum en tijd van doorgifte;
2°: informatie over de ontvangende bevoegde autoriteit;
3°: de reden voor de doorgifte en de doorgegeven persoonsgegevens.

De documentatie wordt desgevraagd ter beschikking van de bevoegde toezichthoudende autoriteit gesteld.

Artikel 69

§ 1

Bij gebreke van een adequaatheidsbesluit zoals bedoeld in artikel 67, of van passende waarborgen zoals bedoeld in artikel 68, is een doorgifte of een categorie van doorgiften van persoonsgegevens aan een land buiten de Europese Unie of een internationale organisatie slechts toegelaten indien de doorgifte noodzakelijk is:

1°: om de vitale belangen van de betrokkene of van een andere persoon te beschermen;
2°: om de legitieme belangen van de betrokkene te beschermen wanneer de wet daarin voorziet;
3°: om een onmiddellijke en ernstige bedreiging van de openbare veiligheid te voorkomen;
4°: in uitzonderlijke gevallen met het oog op de doeleinden van artikel 27;
5°: in specifieke gevallen met het oog op het instellen, uitoefenen of verdedigen van rechtsvorderingen in verband met de doeleinden van artikel 27.

§ 2

Persoonsgegevens worden niet doorgegeven indien de bevoegde autoriteit die de doorgifte verricht, meent dat de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen dan het algemeen belang van de doorgifte bedoeld in paragraaf 1, 4° en 5°.

§ 3

De doorgifte bedoeld in paragraaf 1, 2°, wordt gedocumenteerd en bevat:

1°: de datum en tijd van doorgifte;
2°: informatie over de ontvangende bevoegde autoriteit;
3°: de reden voor de doorgifte en de doorgegeven persoonsgegevens.

De documentatie wordt desgevraagd ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.

Artikel 70

§ 1

In afwijking van artikel 66, § 1, 2°, en onverminderd de internationale overeenkomsten en bepalingen van deze titel, mogen de bevoegde autoriteiten, in bepaalde specifieke gevallen, persoonsgegevens rechtstreeks doorgeven aan ontvangers in landen buiten de Europese Unie die geen bevoegde autoriteit zijn voor de doeleinden in artikel 27, voor zover aan alle onderstaande voorwaarden is voldaan:

1°: de doorgifte is strikt noodzakelijk voor de uitvoering van de opdrachten van de bevoegde autoriteit die de doorgifte doet;
2°: de bevoegde autoriteit die de gegevens doorgeeft, stelt vast dat er geen fundamentele rechten en vrijheden van de betrokkene voorrang hebben op het algemeen belang waarvoor de overdracht in het betreffende geval vereist is;
3°: de bevoegde autoriteit die de doorgifte doet, meent dat de doorgifte aan een bevoegde autoriteit binnen het desbetreffende land ondoeltreffend of ongeschikt is, met name omdat de doorgifte niet tijdig kan worden bewerkstelligd;
4°: de bevoegde autoriteit in het desbetreffende land wordt zonder onnodige vertraging op de hoogte gebracht, tenzij dat ondoeltreffend of ongeschikt is;
5°: de bevoegde autoriteit die de doorgifte doet, licht de ontvanger in over het nader bepaalde doel of de nader bepaalde doeleinden waarvoor de persoonsgegevens bij uitsluiting door laatstgenoemde mogen worden verwerkt, op voorwaarde dat een dergelijke verwerking noodzakelijk is.

§ 2

De bevoegde autoriteit die de doorgifte doet, stelt de toezichthoudende autoriteit in kennis van doorgiften die gebeuren in het kader van dit artikel.

§ 3

Wanneer een doorgifte is gebaseerd op paragraaf 1, wordt die gedocumenteerd.

Hoofdstuk VI Onafhankelijke toezichthoudende autoriteiten

Artikel 71

§ 1

Bij de Kamer van volksvertegenwoordigers wordt een onafhankelijke toezichthoudende autoriteit op de politionele informatie opgericht, Controleorgaan op de politionele informatie genoemd.

Zij is de rechtsopvolger van het Controleorgaan op de politionele informatie opgericht bij artikel 36ter, § 1, eerste lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Zij is ten aanzien van de bevoegde overheden bedoeld in artikel 26, § 1, 7°, a), d) en f), belast, met:

1°: het toezicht op de toepassing van deze titel, zoals voorzien door artikel 26, 15°;
2°: de controle van de verwerking van de informatie en de persoonsgegevens bedoeld in de artikelen 44/1 tot 44/11/13 van de wet van 5 augustus 1992 op het politieambt, met inbegrip van deze ingevoegd in de gegevensbanken bedoeld in artikel 44/2 van dezelfde wet;
3°: elke andere opdracht haar door of krachtens andere wetten verleend.

[Zij is eveneens ten aanzien van de bevoegde overheid bedoeld in artikel 26, § 1, 7°, e), belast met het toezicht op de toepassing van artikel 281, § 4, van de algemene wet inzake douane en accijnzen van 18 juli 1977.]

§ 2

De zetel van het Controleorgaan op de politionele informatie is gevestigd in het administratief arrondissement Brussel-Hoofdstad.

Bij de uitvoering van haar opdrachten en de uitoefening van haar bevoegdheden overeenkomstig deze wet en andere wetten treedt het Controleorgaan op de politionele informatie volledig onafhankelijk op.

30/07/18 GDPR-wetWet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens