Meer info
 

30/07/18 GDPR-wet
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

Ondertitel 4 De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door het coördinatieorgaan voor de dreigingsanalyse en de gemeenschappelijke gegevensbank ?Terrorisme, Extremisme, Radicaliseringsproces?

Hoofdstuk I Definities

Artikel 138

§ 1

De definities bedoeld in de artikelen 26, 1° tot 6°, 9°, 11° tot 14° en 16° tot 17°, zijn van toepassing op deze ondertitel.

§ 2

Voor de toepassing van deze ondertitel wordt verstaan onder:
“het OCAD”: het Coördinatieorgaan voor de dreigingsanalyse bedoeld in de wet van 10 juli 2006 betreffende de analyse van de dreiging;
“de verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
“de wet van 18 juli 1991”: de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse;
“de wet van 11 december 1998”: [de wet van 11 december 1998 betreffende de classificatie, de veiligheidsmachtigingen, de veiligheidsadviezen en de publiek gereguleerde dienst];
“toezichthoudende autoriteit”: een onafhankelijke overheidsinstantie die bij de wet belast is met het toezicht op de toepassing van deze wet;
“de wet van 10 juli 2006”: de wet van 10 juli 2006 betreffende de analyse van de dreiging;
“het informatiesysteem van het OCAD”: het informatiesysteem bedoeld in artikel 9 van de wet van 10 juli 2006;
[“de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”)”: de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”). en tot wijziging van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, de wet van 30 juli 2018 tot oprichting van lokale integrale veiligheidscellen inzake radicalisme, extremisme en terrorisme en de wet van 5 augustus 1992 op het politieambt;]
[“de gemeenschappelijke gegevensbank T.E.R.”: de gegevensbank bedoeld in artikel 3 van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”);]
10°
[“de gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R.”: de verwerkingsverantwoordelijken bedoeld in artikel 5, eerste lid, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”).]

Hoofdstuk II Toepassingsgebied

Artikel 139
Deze ondertitel is van toepassing op elke verwerking van persoonsgegevens door het OCAD en zijn verwerkers, uitgevoerd in het kader van de opdrachten als bedoeld in de wet van 10 juli 2006, en door of krachtens bijzondere wetten [en op elke verwerking van persoonsgegevens in de gemeenschappelijke gegevensbank T.E.R.].
De titels 1, 2, 4, 5 en 7 van deze wet zijn niet van toepassing op de verwerkingen bedoeld in het eerste lid. In titel 6 zijn enkel de artikelen 226, 227 en 230 van toepassing.

Hoofdstuk III Algemene verwerkingsvoorwaarden

Artikel 140
Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen:
wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend;
wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen;
wanneer de verwerking nuttig is om een verplichting na te komen waaraan het OCAD is onderworpen door of krachtens een wet;
wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verwerkingsverantwoordelijke of aan de overheidsinstantie aan wie de persoonsgegevens worden verstrekt;
[wanneer de verwerking nuttig is in het kader van de doeleinden bedoeld in artikel 5, tweede lid, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”).]

Artikel 141
Persoonsgegevens:
worden eerlijk en rechtmatig verwerkt;
worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verkregen en niet verder verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de artikelen 162 tot 167 wordt een verdere verwerking van de gegevens voor historische, wetenschappelijke of statistische doeleinden niet als onverenigbaar beschouwd;
zijn toereikend, terzake dienend en niet overmatig, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;
zijn nauwkeurig en worden, zo nodig, bijgewerkt. Alle redelijke maatregelen worden getroffen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren.

Hoofdstuk IV Aard van de persoonsgegevens

Artikel 142
Het OCAD verwerkt, voor zover noodzakelijk voor het belang van de uitoefening van zijn opdrachten, persoonsgegevens van alle aard, inbegrepen die waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook genetische en biometrische gegevens, gezondheidsgegevens, gegevens die het seksuele gedrag of de seksuele gerichtheid betreffen en deze met betrekking tot strafrechtelijke vervolgingen en tot inbreuken of veiligheidsmaatregelen die hiermee samenhangen.

Hoofdstuk V Bewaring van persoonsgegevens

Artikel 143
De persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor ze opgeslagen worden en volgens de nadere regels bepaald in artikel 9 van de wet van 10 juli 2006 voor wat het informatiesysteem van het OCAD betreft en [artikel 7 van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”) voor wat betreft de gemeenschappelijke gegevensbank T.E.R.]

Hoofdstuk VI Rechten van de betrokkene

Artikel 144
Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op de bescherming van zijn persoonsgegevens.

Artikel 145
De betrokkene heeft het recht te vragen:
om zijn onjuiste persoonsgegevens te laten verbeteren of verwijderen;
om de verificatie bij de bevoegde toezichthoudende autoriteit van de naleving van de bepalingen van deze ondertitel.

Artikel 146
De rechten, bedoeld in artikel 145 worden kosteloos uitgeoefend door de bevoegde toezichthoudende autoriteit op initiatief van de betrokkene die zijn identiteit bewijst.
De bevoegde toezichthoudende autoriteit voert de verificatie uit en deelt uitsluitend aan de betrokkene mee dat de nodige verificaties werden verricht.
De nadere regels voor de uitoefening van deze rechten worden bepaald in de wet.

Artikel 147
De toezichthoudende autoriteiten bedoeld in artikel 161 [de gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R.] en het OCAD houden een logbestand bij van alle aanvragen van betrokkenen tot uitoefening van hun rechten.

Artikel 148
Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn, mag niet louter worden genomen op grond van een geautomatiseerde persoonsgegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren.
Het in het eerste lid vastgestelde verbod geldt niet indien het besluit zijn grondslag vindt in een bepaling voorgeschreven door of krachtens een wet of wanneer het besluit noodzakelijk is vanwege een zwaarwegend algemeen belang.

Hoofdstuk VII Verplichtingen van de verwerkingsverantwoordelijke en de verwerker

Afdeling 1 Algemene verplichtingen
Artikel 149
De verwerkingsverantwoordelijke:
waakt er nauwlettend over dat de persoonsgegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met deze ondertitel, worden verbeterd of verwijderd;
zorgt ervoor dat voor de personen die onder zijn gezag handelen, de toegang tot de persoonsgegevens en de verwerkingsmogelijkheden, beperkt blijven tot wat nuttig is voor de uitoefening van hun opdrachten of voor de behoeften van het OCAD [of in het kader van de doeleinden van de gemeenschappelijke gegevensbank T.E.R. bedoeld in artikel 5, tweede lid, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”)];
informeert alle personen die onder zijn gezag handelen over de bepalingen van deze ondertitel en over alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer betreffende de verwerking van persoonsgegevens.

Artikel 150
Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verwerkingsverantwoordelijke:
een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen;
toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen;
de verantwoordelijkheid van de verwerker vaststellen in de overeenkomst;
met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verwerkingsverantwoordelijke en dat de verwerker is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke in toepassing van deze ondertitel is gehouden;
in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de persoonsgegevens en de eisen met betrekking tot de maatregelen bedoeld in de bepalingen onder 3° en 4°, vaststellen.

Artikel 151
De verwerker is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke is gehouden.
Hij mag de verwerking van persoonsgegevens niet toevertrouwen aan een andere verwerker, behoudens uitdrukkelijke toestemming van de verwerkingsverantwoordelijke.

Artikel 152
Eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker, alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verwerkingsverantwoordelijke verwerken, behoudens op grond van een verplichting door of krachtens een wet.
Afdeling 2 Gezamenlijke verwerkingsverantwoordelijken
Artikel 153
Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
Een overeenkomst bepaalt de respectievelijke verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken, met name met betrekking tot de uitoefening van de rechten van de betrokkene en de mededeling van persoonsgegevens, tenzij hun respectievelijke verplichtingen worden bepaald door of krachtens een wet.
In de onderlinge overeenkomst wordt één contactpunt voor betrokkenen aangewezen. De gezamenlijke verwerkingsverantwoordelijken nemen dit contactpunt op in het register bedoeld in artikel 156.
Afdeling 3 Beveiliging van persoonsgegevens
Artikel 154
De verwerkingsverantwoordelijke, alsmede de verwerker, treffen de passende technische en organisatorische maatregelen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen verzekeren een passend beveiligingsniveau, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen persoonsgegevens en de potentiële risico's.

Artikel 155

§ 1 [

Onder voorbehoud van artikel 13 van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”) meldt de betrokken verwerkingsverantwoordelijke, indien er een inbreuk is op de beveiliging die een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, dit binnen de kortste termijn en indien mogelijk tweeënzeventig uur nadat hij er kennis van heeft genomen, aan de bevoegde toezichthoudende overheid.
]

§ 2

De verwerker verwittigt de verwerkingsverantwoordelijke binnen de kortste termijn van elke inbreuk op de beveiliging.

§ 3

In de in paragrafen 1 en 2 bedoelde melding wordt, op zijn minst, het volgende omschreven of meegedeeld:
de aard van de inbreuk op de beveiliging en indien mogelijk, bij benadering, het aantal betrokkenen en de opgeslagen persoonsgegevens in kwestie;
de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt bij wie bijkomende informatie kan worden verkregen;
de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
de maatregelen die de verwerkingsverantwoordelijke, of de verwerker heeft genomen of voorgesteld om de inbreuk op de beveiliging aan te pakken, waaronder desgevallend maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Afdeling 4 Registers
Artikel 156

§ 1

De verwerkingsverantwoordelijke houdt een register bij, geclassificeerd in de zin van de wet van 11 december 1998, [van de gemeenschappelijke gegevensbank T.E.R.,] van de gegevensbanken van het OCAD en deze die aan hem ter beschikking worden gesteld.
Dit register bevat de volgende gegevens:
[voor de gemeenschappelijke gegevensbank T.E.R. en de gegevensbanken van het OCAD:]
a)
de contactgegevens van de verwerkingsverantwoordelijke en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
b)
de verwerkingsdoeleinden;
c)
de categorieën van ontvangers waaraan persoonsgegevens meegedeeld kunnen worden;
d)
indien mogelijk, de beoogde termijnen voor het verwijderen van de persoonsgegevens;
e)
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 154;
Voor gegevensbanken die aan het OCAD ter beschikking gesteld worden:
a)
de contactgegevens van de verwerkingsverantwoordelijke en, indien mogelijk voor de landen buiten de Europese Unie de dienst die de gegevensbank beheert en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken en van de functionaris voor gegevensbescherming;
b)
de verwerkingsdoeleinden van het OCAD.

§ 2

Elke verwerker houdt een register bij, geclassificeerd in de zin van de wet van 11 december 1998, van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht.
Dit register bevat de volgende elementen:
de contactgegevens van de verwerker en van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, desgevallend, van de functionaris voor gegevensbescherming;
de categorieën van verwerkingen die voor rekening van de verwerkingsverantwoordelijke zijn uitgevoerd;
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 154.

§ 3

De in de paragrafen 1 en 2 bedoelde registers worden in schriftelijke vorm, met inbegrip van elektronische vorm, opgesteld.

§ 4

De verwerkingsverantwoordelijke stelt het register ter beschikking van de bevoegde toezichthoudende autoriteit op diens vraag.
De verwerker stelt het register ter beschikking van de verwerkingsverantwoordelijke en stelt het eveneens ter beschikking van de bevoegde toezichthoudende autoriteit op diens vraag.
Afdeling 5 Functionaris voor gegevensbescherming
Artikel 157

§ 1

De verwerkingsverantwoordelijke, en desgevallend de verwerker, wijzen een functionaris voor gegevensbescherming aan. Deze beslissing wordt meegedeeld aan de bevoegde toezichthoudende autoriteit.
De functionaris voor gegevensbescherming is titularis van een veiligheidsmachtiging “zeer geheim”, in de zin van de wet van 11 december 1998.

§ 2

De functionaris voor gegevensbescherming kan niet gestraft worden voor het uitoefenen van zijn functie. Hij kan evenmin van zijn functie ontheven worden omwille van de uitvoering van zijn opdrachten, behalve indien hij een zware fout heeft begaan of de voorwaarden noodzakelijk voor het uitoefenen van zijn functie niet langer vervult.
De functionaris voor gegevensbescherming kan zich tot het Vast Comité I wenden om deze beslissing aan te vechten.

§ 3

Hij is, op een onafhankelijke wijze, belast met:
het toezien op de naleving van deze ondertitel bij elke verwerking van persoonsgegevens;
het adviseren over alle nuttige maatregelen teneinde de veiligheid van de opgeslagen gegevens te verzekeren;
het informeren en adviseren van de verwerkingsverantwoordelijke, en desgevallend de verwerker, het diensthoofd en de personeelsleden van de betrokken dienst die de verwerking verrichten over hun verplichtingen op grond van deze ondertitel;
het verstrekken van adviezen of aanbevelingen aan de verwerkingsverantwoordelijke, en desgevallend aan de verwerker of de leidinggevende van het OCAD;
het uitvoeren van andere opdrachten die hem door de verwerkingsverantwoordelijke, en in voorkomend geval de verwerker of de leidinggevende van het OCAD toevertrouwd zijn.
De functionaris voor gegevensbescherming is de contactpersoon met de bevoegde toezichthoudende autoriteit met betrekking tot de toepassing van deze ondertitel.

§ 4

De verwerkingsverantwoordelijke en, desgevallend, de verwerker zien erop toe dat hun functionaris voor gegevensbescherming tijdig en naar behoren wordt betrokken bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden.
De verwerkingsverantwoordelijke en, desgevallend, de verwerker zien erop toe dat de functionaris voor gegevensbescherming de benodigde middelen ter beschikking heeft voor het vervullen van zijn opdrachten.
De functionaris voor gegevensbescherming kan worden bijgestaan door één of meerdere medewerkers.

§ 5

Desgevallend kunnen nadere regels voor de werking, de aanwijzing en de vereiste bevoegdheden door de Koning worden bepaald.

Artikel 157/1

§ 1

De gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R., en desgevallend de verwerker, wijzen een functionaris voor gegevensbescherming aan. Deze beslissing wordt meegedeeld aan de bevoegde toezichthoudende autoriteiten.
De functionaris voor gegevensbescherming is titularis van een veiligheidsmachtiging “geheim”, in de zin van de wet van 11 december 1998.

§ 2

De functionaris voor gegevensbescherming kan niet gestraft worden voor het uitoefenen van zijn functie. Hij kan evenmin van zijn functie ontheven worden omwille van de uitvoering van zijn opdrachten, behalve indien hij een zware fout heeft begaan of de voorwaarden noodzakelijk voor het uitoefenen van zijn functie niet langer vervult.
De functionaris voor gegevensbescherming kan zich tot het Controleorgaan op de Politionele Informatie of het Vast Comité I wenden om deze beslissing aan te vechten.

§ 3

Hij is, op een onafhankelijke wijze, belast met:
het toezien op de naleving van deze ondertitel bij elke verwerking van persoonsgegevens in het kader van de gemeenschappelijke gegevensbank T.E.R.;
het adviseren over alle nuttige maatregelen teneinde de veiligheid van de opgeslagen gegevens in de gemeenschappelijke gegevensbank T.E.R. te verzekeren;
het informeren en adviseren van de gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R., en desgevallend de beheerder, de operationeel verantwoordelijke, de verwerker, het diensthoofd en de personeelsleden van de betrokken dienst die de verwerking verrichten over hun verplichtingen op grond van deze ondertitel en de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”);
het verstrekken van adviezen of aanbevelingen aan de gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R., en desgevallend aan de beheerder, de operationeel verantwoordelijke en de verwerker;
het uitvoeren van andere opdrachten die hem door de gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R., en in voorkomend geval de operationeel verantwoordelijke zijn toevertrouwd.

§ 4

De functionaris voor gegevensbescherming:
waakt over de bewustmaking van de gebruikers inzake bescherming van de persoonsgegevens en de veiligheid;
werkt samen met de beheerder in het kader van het uitwerken van procedures;
werkt, indien nodig, samen met de functionarissen voor de gegevensbescherming van de diensten die de gegevens in de gemeenschappelijke gegevensbank T.E.R. verwerken;
is de contactpersoon met de toezichthoudende autoriteiten voor aangelegenheden in verband met de verwerkingen die in de gemeenschappelijke gegevensbank T.E.R. worden uitgevoerd.

§ 5

De functionaris voor gegevensbescherming oefent zijn functies uit in alle onafhankelijkheid en met inachtneming van de respectieve bevoegdheden en opdrachten van de basisdiensten en de partnerdiensten.
De gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R., de beheerder en de operationeel verantwoordelijke zien erop toe dat de functionaris voor gegevensbescherming op passende wijze en tijdig betrokken wordt bij alle aangelegenheden in verband met de bescherming van persoonsgegevens.
De gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R. zien erop toe dat de functionaris voor gegevensbescherming beschikt over de nodige middelen voor het vervullen van zijn opdrachten.
De functionaris voor gegevensbescherming kan worden bijgestaan door een of meer adjuncten.
Hij brengt rechtstreeks verslag uit aan de gezamenlijke verwerkingsverantwoordelijken van de gemeenschappelijke gegevensbank T.E.R., die de operationeel verantwoordelijke op de hoogte brengen.

§ 6

Desgevallend kunnen nadere regels voor de werking, de aanwijzing en de vereiste bevoegdheden van de functionaris voor gegevensbescherming door de Koning worden bepaald.

Hoofdstuk VIII Mededeling en doorgifte van persoonsgegevens

Afdeling 1 Mededeling van persoonsgegevens aan de publieke sector en de private sector
Artikel 158
In afwijking van de artikelen 20, 22, 23, 58 en 59 van deze wet en van de artikelen 35 en 36 van de Verordening kan noch een protocol, noch een advies van de functionaris voor gegevensbescherming, noch een gegevensbeschermingseffectbeoordeling, noch het advies volgend op de raadpleging van de bevoegde toezichthoudende autoriteit vereist worden als voorafgaande voorwaarde voor de mededeling van persoonsgegevens tussen het OCAD en enig openbaar of particulier orgaan, in het belang van de uitvoering van de opdrachten van het OCAD.
In afwijking van de artikelen 20, 22, 23, 58 en 59 van deze wet en van de artikelen 35 en 36 van de Verordening kan noch een protocol, noch een advies van de functionaris voor gegevensbescherming, noch een gegevensbeschermingseffectbeoordeling, noch het advies volgend op de raadpleging van de bevoegde toezichthoudende autoriteit vereist worden als voorafgaande voorwaarde voor de mededeling van persoonsgegevens van de gemeenschappelijke gegevensbank T.E.R. aan enig openbaar of particulier orgaan, in het belang van de uitvoering van de opdrachten inzake de voorkoming en de opvolging van terrorisme en extremisme, dat kan leiden tot terrorisme, bedoeld in artikel 3, eerste lid, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”).
De mededeling bedoeld in het eerste lid vindt plaats in overeenstemming met de artikelen 8 tot 12 van de wet van 10 juli 2006 betreffende de analyse van de dreiging.
De mededeling bedoeld in het tweede lid vindt plaats in overeenstemming met de artikelen 20 tot 28 van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”).
Wanneer de partijen beslissen een protocol af te sluiten, bevat dit, in afwijking van artikel 20, § 1, tweede lid, het volgende:
de identificatie van het openbaar of particulier orgaan die de persoonsgegevens uitwisselen, en in voorkomend geval, de identificatie van het OCAD;
de identificatie van de verwerkingsverantwoordelijken;
de contactgegevens van de betrokken functionarissen voor gegevensbescherming;
de doeleinden waarvoor de persoonsgegevens worden doorgegeven;
de wettelijke grondslag;
de beperkingen van de rechten van de betrokkene.
Het protocol bedoeld in het vijfde lid draagt de markering “BEPERKTE VERSPREIDING” in de zin van het koninklijk besluit van 24 maart 2000 tot uitvoering van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen, voor zover een classificatie in de zin van de wet van 11 december 1998 betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst niet gerechtvaardigd is.
Afdeling 2 Doorgifte van persoonsgegevens aan landen die geen lid zijn van de Europese Unie of aan internationale organisaties
Artikel 159
Persoonsgegevens mogen slechts worden doorgegeven aan een land dat geen lid is van de Europese Unie of een internationale organisatie, indien dat land of die organisatie een passend beschermingsniveau en de naleving van de andere bepalingen van deze ondertitel waarborgt.
De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die betrekking hebben op de doorgifte van persoonsgegevens of op een categorie van doorgiften van persoonsgegevens. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betrokken land of de organisatie gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen of organisaties worden nageleefd.
Het passende beschermingsniveau kan verzekerd worden door veiligheidsclausules tussen de verwerkingsverantwoordelijke en de ontvanger van de persoonsgegevens.

Artikel 160
In afwijking van artikel 159 mag een doorgifte van persoonsgegevens aan een land dat geen lid is van de Europese Unie of aan een internationale organisatie, hetwelke geen waarborgen biedt voor een passend beschermingsniveau, slechts plaatsvinden wanneer:
de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven voor de beoogde doorgifte; of
de doorgifte verplicht is in het kader van de internationale betrekkingen; of
de doorgifte noodzakelijk is ter vrijwaring van het vitaal belang van de personen; of
de doorgifte noodzakelijk of wettelijk verplicht is ter vrijwaring van een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.

Hoofdstuk IX Toezichthoudende autoriteit

Artikel 161
Het Vast Comité I, in zijn hoedanigheid van onafhankelijke publieke autoriteit, en het Vast Comité van Toezicht op de politiediensten, worden aangewezen als gegevensbeschermingsautoriteiten belast met de controle van de verwerking van persoonsgegevens door het OCAD en zijn verwerkers volgens de nadere regels vastgelegd in de wet van 18 juli 1991.
[De toezichthoudende overheden bedoeld in artikel 2, 22°, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”) worden gezamenlijk aangewezen als gegevensbeschermingsautoriteiten belast met de controle van de verwerking van persoonsgegevens in de gemeenschappelijke gegevensbank T.E.R.]

Hoofdstuk X Verwerking van persoonsgegevens voor historische, wetenschappelijke of statistische doeleinden

Artikel 162
In afwijking van titel 4, wordt de raadpleging voor historische, wetenschappelijke of statistische doeleinden, door een verdere verwerkingsverantwoordelijke, van persoonsgegevens van het OCAD en van hun personeel toegestaan door het OCAD indien dit geen afbreuk doet aan zijn opdrachten bedoeld in de wet van 10 juli 2006, aan een lopend opsporings- of gerechtelijk onderzoek, of aan de betrekkingen die België met vreemde staten of internationale organisaties onderhoudt en overeenkomstig de wet van 10 juli 2006.
Elke vraag aan de Rijksarchieven om verdere verwerking van persoonsgegevens van het OCAD en van hun personeel voor overige doelen dan die bedoeld in het eerste lid wordt geweigerd tenzij het doel legitiem is en het OCAD meent dat de verwerking geen afbreuk kan doen aan de belangen bedoeld in het eerste lid.
[In afwijking van het eerste lid, wordt de raadpleging voor historische, wetenschappelijke of statistische doeleinden, door een verdere verwerkingsverantwoordelijke, van persoonsgegevens met betrekking tot de in de gemeenschappelijke gegevensbank T.E.R. geregistreerde entiteiten toegestaan door de operationeel verantwoordelijke van de gemeenschappelijke gegevensbank T.E.R. na overleg met de basisdiensten bedoeld in artikel 2, 2°, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”). Wanneer de raadpleging de veiligheid van een persoon, de uitoefening van de strafvordering, de uitoefening van een inlichtingenonderzoek of de relatie met een rechtshandhavingsinstantie van een buitenlandse Staat of met een inlichtingen- en veiligheidsdienst van een buitenlandse Staat in het gedrang kan brengen, wordt ze automatisch geweigerd.
Elke vraag aan de Rijksarchieven om verdere verwerking van persoonsgegevens geregistreerd in de gemeenschappelijke gegevensbank T.E.R. voor overige doelen dan die bedoeld in het derde lid wordt geweigerd tenzij het doel legitiem is, er geen onevenredige afbreuk wordt gedaan aan het privéleven en na advies van de operationeel verantwoordelijke.]

Artikel 163
Vóór hun raadpleging bedoeld in artikel 162 worden de persoonsgegevens voorzien van de vermelding “Bescherming van persoonsgegevens – hoofdstuk X, ondertitel 4 van titel 3 van de wet van 30 juli 2018”.

Artikel 164
De persoonsgegevens bedoeld in artikel 162 worden voorafgaand aan hun raadpleging geanonimiseerd.
Indien een verdere verwerking van anonieme gegevens niet toelaat om de historische, wetenschappelijke of statistische doeleinden te verwezenlijken, kan het OCAD [of de operationeel verantwoordelijke van de gemeenschappelijke gegevensbank T.E.R. na overleg met de basisdiensten bedoeld in artikel 2, 2°, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”), wat betreft de gemeenschappelijke gegevensbank T.E.R.,] de raadpleging van gepseudonimiseerde gegevens toestaan.
Indien de anonimisering of pseudonimisering de identificatie van de gegevens niet onmogelijk maakt, weigert het OCAD [of de operationeel verantwoordelijke van de gemeenschappelijke gegevensbank T.E.R. na overleg met de basisdiensten bedoeld in artikel 2, 2°, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”), wat betreft de gemeenschappelijke gegevensbank T.E.R.,] de raadpleging indien dit een onevenredige afbreuk doet aan het privéleven.
Indien een verdere verwerking van gepseudonimiseerde gegevens niet toelaat om de historische, wetenschappelijke of statistische doeleinden te verwezenlijken, kan het OCAD [of de operationeel verantwoordelijke van de gemeenschappelijke gegevensbank T.E.R. na overleg met de basisdiensten bedoeld in artikel 2, 2°, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”), wat betreft de gemeenschappelijke gegevensbank T.E.R.,] de raadpleging van niet-gepseudonimiseerde gegevens toestaan indien dit geen onevenredige afbreuk doet aan het privéleven.

Artikel 165
In afwijking van titel 4, is een mededeling of publicatie van niet-geanonimiseerde of niet-gepseudonimiseerde persoonsgegevens bedoeld in artikel 162, geraadpleegd door de verdere verwerkingsverantwoordelijke, is enkel mogelijk met het akkoord van het OCAD [of de operationeel verantwoordelijke van de gemeenschappelijke gegevensbank T.E.R. na overleg met de basisdiensten bedoeld in artikel 2, 2°, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”), wat betreft de gemeenschappelijke gegevensbank T.E.R.,] en onder de voorwaarden die het vastlegt.

Artikel 166
De verdere verwerkingsverantwoordelijke van persoonsgegevens bedoeld in artikel 162 houdt een logbestand van zijn verdere verwerkingsactiviteiten voor historische, wetenschappelijke of statistische doeleinden bij.
Dit logbestand is geclassificeerd in de zin van de wet van 11 december 1998 indien de verwerking betrekking heeft op geclassificeerde gegevens.
Dit logbestand bevat de volgende informatie:
de contactgegevens van de eerste verwerkingsverantwoordelijke, de verdere verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming van deze laatste;
de doeleinden van de verdere verwerking;
de gegevens die het voorwerp uitmaken van de verdere verwerking;
de eventuele voorwaarden voor de verdere verwerking vastgelegd door het OCAD [of door de operationeel verantwoordelijke van de gemeenschappelijke gegevensbank T.E.R. na overleg met de basisdiensten bedoeld in artikel 2, 2°, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”), wat betreft de gemeenschappelijke gegevensbank T.E.R.];
de eventuele ontvangers toegestaan door het OCAD [of door de operationeel verantwoordelijke van de gemeenschappelijke gegevensbank T.E.R. na overleg met de basisdiensten bedoeld in artikel 2, 2°, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”), wat betreft de gemeenschappelijke gegevensbank T.E.R.].

Artikel 167
Elke overheidsinstantie of elke natuurlijke of rechtspersoon die persoonsgegevens bedoeld in artikel 162 verwerkt om historische, wetenschappelijke of statistische doeleinden is de verantwoordelijke van deze verwerking.
Zij of hij mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme of gepseudonimiseerde gegevens in niet-anonieme of niet-gepseudonimiseerde gegevens.