30/07/18 GDPR-wet
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Ondertitel 5 De bescherming van natuurlijke personen met betrekking tot bepaalde verwerkingen van persoonsgegevens door de passagiersinformatie-eenheid
Hoofdstuk I Definities
Artikel 168
§ 1
De definities bedoeld in artikelen 26, 1° tot 3°, 8°, 10° en 11°, en in artikel 72, § 2, 6° en 7°, zijn van toepassing op deze ondertitel.
§ 2
Voor de toepassing van deze ondertitel wordt verstaan onder:
- 1°
- “de wet van 25 december 2016”: de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens;
- 2°
- “de PIE”: de Passagiersinformatie-eenheid bedoeld in hoofdstuk 7 van de wet van 25 december 2016.
Hoofdstuk II Toepassingsgebied
Artikel 169
[Deze ondertitel is van toepassing op elke verwerking van persoonsgegevens door de PIE in het kader van de finaliteiten bedoeld in artikel 8 van de wet van 25 december 2016 wanneer deze onder de bevoegdheid van de inlichtingen- en veiligheidsdiensten vallen.]
De titels 1, 2, 4, 5 en 7 van deze wet zijn niet van toepassing op de verwerkingen bedoeld in het eerste lid. In titel 6 zijn enkel de artikelen 226, 227 en 230 van toepassing.
Hoofdstuk III Algemene verwerkingsvoorwaarden
Artikel 170
Persoonsgegevens:
- 1°
- worden eerlijk en rechtmatig verwerkt;
- 2°
- worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verkregen en niet verder verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden;
- 3°
- zijn toereikend, terzake dienend en niet overmatig, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;
- 4°
- zijn nauwkeurig en worden, zo nodig, bijgewerkt. Alle redelijke maatregelen worden getroffen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, te wissen of te verbeteren.
Hoofdstuk IV Bewaring van persoonsgegevens
Artikel 171
De persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor ze opgeslagen worden en volgens de nadere regels bepaald in hoofdstuk 9 van de wet van 25 december 2016.
Hoofdstuk V Rechten van de betrokkene
Artikel 172
Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op de bescherming van zijn persoonsgegevens.
Artikel 173
De betrokkene heeft het recht te vragen:
- 1°
- om zijn onjuiste persoonsgegevens te laten verbeteren of verwijderen;
- 2°
- om de verificatie bij het Vast Comité I van de naleving van de bepalingen van deze ondertitel.
Artikel 174
De rechten, bedoeld in artikel 173 worden kosteloos uitgeoefend door het Vast Comité I op initiatief van de betrokkene die zijn identiteit bewijst.
Het Vast Comité I voert de verificatie uit en deelt uitsluitend aan de betrokkene mee dat de nodige verificaties werden verricht.
De nadere regels voor de uitoefening van deze rechten worden bepaald in de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse.
Artikel 175
Het Vast Comité I en de PIE houden een logbestand bij van alle aanvragen van betrokkenen tot uitoefening van hun rechten.
Artikel 176
Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn, mag niet louter worden genomen op grond van een geautomatiseerde persoonsgegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren.
Hoofdstuk VI Verplichtingen van de verwerkingsverantwoordelijke
Afdeling 1 Algemene verplichtingen
Artikel 177
De verwerkingsverantwoordelijke:
- 1°
- waakt er nauwlettend over dat de persoonsgegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met deze ondertitel, worden verbeterd of verwijderd;
- 2°
- zorgt ervoor dat voor de personen die onder zijn gezag handelen, de toegang tot de persoonsgegevens en de verwerkingsmogelijkheden, beperkt blijven tot wat nuttig is voor de uitoefening van hun opdrachten of voor de behoeften van de dienst;
- 3°
- informeert alle personen die onder zijn gezag handelen over de bepalingen van deze ondertitel en over alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer betreffende de verwerking van persoonsgegevens.
Artikel 178
Eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verwerkingsverantwoordelijke verwerken, behoudens op grond van een verplichting door of krachtens een wet.
Afdeling 2 Beveiliging van persoonsgegevens
Artikel 179
De verwerkingsverantwoordelijke treft de passende technische en organisatorische maatregelen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen verzekeren een passend beveiligingsniveau, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen persoonsgegevens en de potentiële risico's.
Artikel 180
§ 1
Indien een inbreuk op de beveiliging een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, meldt de verwerkingsverantwoordelijke deze inbreuk binnen de kortste termijn aan het Vast Comité I en indien mogelijk, 72 uur nadat hij er kennis van heeft genomen.
§ 2
In de in paragraaf 1 bedoelde melding wordt, op zijn minst, het volgende omschreven of meegedeeld:
- 1°
- de aard van de inbreuk op de beveiliging en indien mogelijk, bij benadering, het aantal betrokkenen en de opgeslagen persoonsgegevens in kwestie;
- 2°
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt bij wie bijkomende informatie kan worden verkregen;
- 3°
- de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
- 4°
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk op de beveiliging aan te pakken, waaronder desgevallend maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Afdeling 3 Register
Artikel 181
§ 1
De verwerkingsverantwoordelijke houdt een register bij van enerzijds de passagiersgegevensbank bedoeld in hoofdstuk 8 van de wet van 25 december 2016 en anderzijds van de gegevensbanken die aan haar ter beschikking worden gesteld.
Dit register bevat de volgende gegevens:
- 1°
- voor de voormelde passagiersgegevensbank:
- a)
- de contactgegevens van de verwerkingsverantwoordelijke en van de functionaris voor gegevens-bescherming;
- b)
- de verwerkingsdoeleinden;
- c)
- de categorieën van ontvangers waaraan persoonsgegevens meegedeeld kunnen worden;
- d)
- indien mogelijk, de beoogde termijnen voor het verwijderen van de persoonsgegevens;
- e)
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 179;
- 2°
- voor gegevensbanken die aan de PIE ter beschikking gesteld worden:
- a)
- de contactgegevens van de verwerkingsverantwoordelijke en, indien mogelijk voor de landen buiten de Europese Unie de dienst die de gegevensbank beheert en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken en van de functionaris voor gegevensbescherming;
- b)
- de verwerkingsdoeleinden van de PIE.
§ 2
Het in paragraaf 1 bedoelde register wordt in schriftelijke vorm, met inbegrip van elektronische vorm, opgesteld.
§ 3
De verwerkingsverantwoordelijke stelt het register ter beschikking van het Vast Comité I op diens vraag.
Hoofdstuk VII Mededeling en doorgifte van persoonsgegevens
Artikel 182
Persoonsgegevens mogen slechts worden doorgegeven aan een land dat geen lid is van de Europese Unie of een internationale organisatie, indien dat land of die organisatie een passend beschermingsniveau en de naleving van de andere bepalingen van deze ondertitel en van de bepalingen van hoofdstuk 12 van de wet van 25 december 2016 waarborgt.
De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die betrekking hebben op de doorgifte van persoonsgegevens of op een categorie van doorgiften van persoonsgegevens. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betrokken land of de organisatie gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen of organisaties worden nageleefd.
Het passende beschermingsniveau kan verzekerd worden door veiligheidsclausules tussen de verwerkingsverantwoordelijke en de ontvanger van de persoonsgegevens.
Artikel 183
In afwijking van artikel 182 mag een doorgifte van persoonsgegevens aan een land dat geen lid is van de Europese Unie of aan een internationale organisatie, hetwelke geen waarborgen biedt voor een passend beschermingsniveau, slechts plaatsvinden wanneer:
- 1°
- de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven; of
- 2°
- de doorgifte verplicht is in het kader van de internationale betrekkingen; of
- 3°
- de doorgifte noodzakelijk is ter vrijwaring van het vitaal belang van de personen; of
- 4°
- de doorgifte noodzakelijk of wettelijk verplicht is ter vrijwaring van een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.
Hoofdstuk VIII Toezichthoudende autoriteit
Artikel 184
De verwerkingen van persoonsgegevens zoals bedoeld in deze ondertitel zijn onderworpen aan het toezicht van de toezichthoudende autoriteit bedoeld in artikel 95.
