30/07/18 GDPR-wet
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Hoofdstuk II Beginselen van verwerking
Artikel 28
De persoonsgegevens:
- 1°
- worden rechtmatig en eerlijk verwerkt;
- 2°
- worden voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt;
- 3°
- zijn toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt;
- 4°
- zijn juist en worden zo nodig geactualiseerd; alle redelijke maatregelen worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;
- 5°
- worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt;
- 6°
- worden met gebruikmaking van passende technische of organisatorische maatregelen op een dusdanige manier verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Artikel 29
§ 1
Verdere verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een doeleinde vermeld in artikel 27, ander dan dat waarvoor de persoonsgegevens werden verzameld, is toegelaten voor zover:
- 1°
- de verwerkingsverantwoordelijke overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst gemachtigd is deze persoonsgegevens voor een dergelijk doeleinde te verwerken; en
- 2°
- de verwerking noodzakelijk is en in verhouding staat overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.
§ 2
De persoonsgegevens kunnen niet verder verwerkt worden door dezelfde of een andere verwerkingsverantwoordelijke voor een ander doeleinde dan dat waarvoor de persoonsgegevens werden verzameld, indien dat doeleinde niet ondergebracht kan worden onder de doeleinden vermeld in artikel 27, tenzij deze verdere verwerking is toegestaan overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.
§ 3
Wanneer de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst specifieke voorwaarden oplegt voor de verwerking, stelt de bevoegde overheid die de gegevens doorzendt, de ontvanger van die persoonsgegevens in kennis van de voorwaarden en de verplichting om die na te leven.
§ 4
De bevoegde overheden die de gegevens doorzenden aan de ontvangers in de andere lidstaten van de Europese Unie, mogen geen bijkomende specifieke voorwaarden doen gelden dan degene die gelden voor de nationale gegevensdoorgifte.
§ 5
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van dit artikel en kan de naleving ervan aantonen.
Artikel 30
Behoudens de gevallen waarin de maximale bewaartermijn van de gegevens wordt bepaald in de Europese regelgeving of de internationale overeenkomst die de basis vormt voor de betrokken bewaring, bepaalt de wet, het decreet of de ordonnantie de maximale bewaartermijn. Na afloop van die termijn worden de gegevens gewist.
In afwijking van het eerste lid kan de wet, het decreet of de ordonnantie voorzien dat na afloop van een eerste bewaartermijn een analyse moet worden uitgevoerd op basis van verschillende noodzakelijkheids- en proportionaliteitscriteria om te bepalen of het nodig is dat de gegevens bewaard blijven, en in voorkomend geval, de nieuwe bewaartermijn.
In dat geval voorziet de wet, het decreet of de ordonnantie in een maximale bewaartermijn.
Artikel 31
De verwerkingsverantwoordelijke maakt in voorkomend geval en voor zover mogelijk een duidelijk onderscheid tussen persoonsgegevens betreffende verschillende categorieėn van betrokkenen, zoals:
- 1°
- personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen;
- 2°
- personen die voor een strafbaar feit zijn veroordeeld;
- 3°
- slachtoffers van een strafbaar feit, of personen ten aanzien van wie bepaalde feiten aanleiding geven tot het vermoeden dat zij het slachtoffer zouden kunnen worden van een strafbaar feit;
- 4°
- andere personen die bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafrechtelijke procedure, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een van de personen bedoeld in de bepalingen onder 1° en 2°.
Artikel 32
§ 1
Persoonsgegevens die op feiten zijn gebaseerd, worden voor zover mogelijk onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.
§ 2
De bevoegde overheden nemen alle redelijke maatregelen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar worden gesteld. Daartoe controleert iedere bevoegde overheid, voor zover mogelijk, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar worden gesteld.
Voor zover mogelijk wordt bij de doorzending van persoonsgegevens te allen tijde de noodzakelijke aanvullende informatie worden toegevoegd aan de hand waarvan de ontvangende bevoegde overheid de mate van juistheid, volledigheid en betrouwbaarheid van persoonsgegevens kan beoordelen, alsmede de mate waarin ze actueel zijn.
§ 3
Indien blijkt dat onjuiste persoonsgegevens zijn doorgezonden, of dat de persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de persoonsgegevens gerectificeerd of gewist, of wordt de verwerking beperkt overeenkomstig artikel 39.
Artikel 33
§ 1
De verwerking is rechtmatig indien:
- 1°
- ze noodzakelijk is voor de uitvoering van een opdracht uitgevoerd door een overheid bevoegd voor de in artikel 27, bedoelde doeleinden; en
- 2°
- ze gebaseerd is op een wettelijke of reglementaire verplichting.
§ 2
De wettelijke of reglementaire verplichting regelt ten minste de categorieėn van persoonsgegevens die verwerkt moeten worden en de doeleinden van de verwerking.
Artikel 34
§ 1
Verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is en geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en enkel in een van de volgende gevallen:
- 1°
- wanneer de verwerking door de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst is toegestaan;
- 2°
- wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere natuurlijke persoon;
- 3°
- wanneer de verwerking betrekking heeft op gegevens die kennelijk openbaar zijn gemaakt door de betrokkene.
§ 2
De passende waarborgen zoals bedoeld in paragraaf 1 voorzien ten minste in dat de bevoegde overheid of de verwerkingsverantwoordelijke een lijst van de categorieėn van personen die toegang hebben tot de persoonsgegevens opstelt, met een beschrijving van hun hoedanigheid ten opzichte van de verwerking van de beoogde gegevens. Deze lijst wordt ter beschikking gehouden van de bevoegde toezichthoudende autoriteit.
De bevoegde overheid waakt erover dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijke karakter van de betrokken gegevens in acht te nemen.
Artikel 35
Uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, zijn toegestaan als de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, met inbegrip van ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.
Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 34 bedoelde bijzondere categorieėn van persoonsgegevens, is verboden.
