Moniteur Belge - Belgisch Staatsblad

Publicatie : 2018-09-05
Numac : 2018040581

FEDERALE OVERHEIDSDIENST JUSTITIE, FEDERALE OVERHEIDSDIENST BINNENLANDSE ZAKEN EN MINISTERIE VAN LANDSVERDEDIGING
30 JULI 2018 - Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens



FILIP, Koning der Belgen,
Aan allen die nu zijn en hierna wezen zullen, Onze Groet.
De Kamer van volksvertegenwoordigers heeft aangenomen en Wij bekrachtigen, hetgeen volgt :

VOORAFGAANDE TITEL. - Inleidende bepalingen

Artikel 1. Deze wet regelt een aangelegenheid als bedoeld in artikel 74 van de Grondwet.

Artikel 2. Deze wet is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
De Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG, hierna "de Verordening", is ook van toepassing op de verwerking van persoonsgegevens bedoeld in de artikelen 2.2.a) en 2.2.b) van de Verordening.

Art. 3. Het vrije verkeer van persoonsgegevens wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.
In het bijzonder kan de uitwisseling van persoonsgegevens tussen de verwerkingsverantwoordelijken, de bevoegde overheden, de diensten, organen en de ontvangers bedoeld in de titels 1 tot 3 van deze wet en die binnen het kader van de doelstellingen bedoeld in artikel 23.1.a) tot h), van de Verordening handelen, niet worden beperkt noch verboden omwille van dergelijke redenen.
Een beperking of verbod kan evenwel plaatsvinden indien er een hoog risico bestaat dat de uitwisseling van gegevens zou leiden tot het omzeilen van deze wet.

Art. 4.

§ 1. Deze wet is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker op het Belgische grondgebied, ongeacht of de verwerking al dan niet op het Belgische grondgebied plaatsvindt.

§ 2. Deze wet is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich op het Belgische grondgebied bevinden, door een niet in de Europese Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met :
1° het aanbieden van goederen of diensten aan deze betrokkenen op het Belgische grondgebied, ongeacht of een betaling door de betrokkenen is vereist; of
2° het monitoren van het gedrag van deze personen, voor zover dit gedrag op het Belgische grondgebied plaatsvindt.

§ 3. In afwijking van paragraaf 1, wanneer de verwerkingsverantwoordelijke gevestigd is in een lidstaat van de Europese Unie en beroep doet op een verwerker met vestiging op het Belgische grondgebied is het recht van de lidstaat in kwestie van toepassing op de verwerker voor zover de verwerking plaatsvindt op het grondgebied van deze lidstaat.

§ 4. Deze wet is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet op het Belgische grondgebied is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het Belgische recht van toepassing is.

Art. 5. De definities van de Verordening zijn van toepassing.

Voor de toepassing van deze wet wordt verstaan onder "overheid" :
1° de Federale Staat, de deelstaten en lokale overheden;
2° de rechtspersonen van publiek recht die van de Federale Staat, de deelstaten of lokale overheden afhangen;
3° de personen, ongeacht hun vorm en aard, die :

- opgericht zijn met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn; en
- rechtspersoonlijkheid hebben; en
- waarvan hetzij de activiteiten in hoofdzaak door de overheden of instellingen vermeld in de bepalingen onder 1° of 2°, worden gefinancierd, hetzij het beheer onderworpen is aan toezicht door deze overheden of instellingen, hetzij de leden van het bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan voor meer dan de helft door deze overheden of instellingen zijn aangewezen;

4° de verenigingen bestaande uit één of meer overheden als bedoeld in de bepalingen onder 1°, 2° of 3°.

TITEL 1. - De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

HOOFDSTUK I. - Algemene bepaling

Art. 6. Onverminderd bijzondere bepalingen, geeft deze titel uitvoering aan de Verordening.

HOOFDSTUK II. - Beginselen van verwerking

Art. 7. In uitvoering van artikel 8.1 van de Verordening is de verwerking van de persoonsgegevens van een kind met betrekking tot een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, rechtmatig indien de toestemming verleend wordt door kinderen van 13 jaar of ouder.
Wanneer deze verwerking betrekking heeft op de persoonsgegevens van een kind jonger dan 13 jaar, is die slechts rechtmatig indien de toestemming wordt verleend door de wettelijke vertegenwoordiger van dit kind.

Art. 8.

§ 1. In uitvoering van artikel 9.2.g) van de Verordening worden de hieronder vermelde verwerkingen beschouwd als noodzakelijke verwerkingen om redenen van zwaarwegend algemeen belang :
1° de verwerking door verenigingen met rechtspersoonlijkheid of stichtingen die als statutair hoofddoel de verdediging en de bevordering van de rechten van de mens en van de fundamentele vrijheden hebben, verricht voor de verwezenlijking van dat doel, op voorwaarde dat voor de verwerking een machtiging is verleend door de Koning bij een besluit vastgesteld na overleg in de Ministerraad, na advies van de bevoegde toezichthoudende autoriteit. De Koning kan nadere regels bepalen voor die verwerking;
2° de verwerking beheerd door de stichting van openbaar nut "Stichting voor Vermiste en Seksueel Uitgebuite Kinderen" voor de ontvangst, de overzending aan de gerechtelijke overheid en de opvolging van gegevens betreffende personen die ervan verdacht worden in een bepaald dossier van vermissing of seksuele uitbuiting, een misdaad of wanbedrijf te hebben begaan;
3° de verwerking van persoonsgegevens die het seksuele leven betreffen, verricht door een vereniging met rechtspersoonlijkheid of door een stichting met als statutair hoofddoel de evaluatie, de begeleiding en de behandeling van personen van wie het seksueel gedrag gekwalificeerd kan worden als een misdrijf en die voor de verwezenlijking van dat doel door de bevoegde overheid worden erkend en gesubsidieerd. Voor dergelijke verwerkingen, waarvan de bedoeling moet bestaan in de evaluatie, begeleiding en behandeling van de in deze paragraaf bedoelde personen en de verwerking uitsluitend persoonsgegevens betreft die, wanneer ze het seksueel leven betreffen, enkel betrekking hebben op laatstgenoemde personen, moet door de Koning bij een in een Ministerraad overlegd besluit, na advies van de bevoegde toezichthoudende autoriteit, een bijzondere, individuele machtiging worden verleend.
Het in het eerste lid, 3°, bedoelde besluit verduidelijkt de duur van de machtiging, de nadere regels voor de gegevensverwerking, de nadere regels voor de controle van de vereniging of stichting door de bevoegde overheid en de wijze waarop door deze overheid aan de bevoegde toezichthoudende autoriteit verslag uitbrengt over de verwerking van persoonsgegevens in het kader van de verleende machtiging.
Behoudens bijzondere wettelijke bepalingen is de verwerking van genetische en biometrische gegevens door deze verenigingen en stichtingen, met als doel het op een unieke wijze identificeren van een fysieke persoon, verboden.

§ 2. De verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker stellen een lijst op van de categorieën van personen die toegang hebben tot de persoonsgegevens, met een beschrijving van hun hoedanigheid ten opzichte van de verwerking van de beoogde gegevens. Deze lijst wordt ter beschikking gehouden van de bevoegde toezichthoudende autoriteit.
De verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling, ertoe gehouden zijn het vertrouwelijke karakter van de betrokken gegevens in acht te nemen.

§ 3. De stichting bedoeld in paragraaf 1, eerste lid, 2°, kan geen bestand houden betreffende personen die ervan verdacht worden een misdaad of wanbedrijf te hebben begaan of van veroordeelde personen. Zij wijst een functionaris voor gegevensbescherming aan.

Art. 9. In uitvoering van artikel 9.4 van de Verordening neemt de verwerkingsverantwoordelijke, bij de verwerking van genetische, biometrische of gezondheidsgegevens, bovendien de volgende maatregelen :
1° hij of, in voorkomend geval, de verwerker wijst de categorieën van personen die toegang hebben tot de persoonsgegevens, aan waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig wordt omschreven;
2° hij of, in voorkomend geval, de verwerker houdt de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de bevoegde toezichthoudende autoriteit;
3° hij zorgt ervoor dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen.

Art. 10.

§ 1. In uitvoering van artikel 10 van de Verordening wordt de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafrechtelijke inbreuken of daarmee verband houdende veiligheidsmaatregelen uitgevoerd :
1° door natuurlijke personen of door privaatrechtelijke of publiekrechtelijke rechtspersonen voor zover dat noodzakelijk is voor het beheer van hun eigen geschillen; of
2° door advocaten of andere juridische raadgevers in zoverre de verdediging van de belangen van hun cliënten dit vereist; of
3° door andere personen, indien de verwerking noodzakelijk is voor redenen van zwaarwegend algemeen belang voor het vervullen van taken van algemeen belang die door of krachtens een wet, een decreet, een ordonnantie of het recht van de Europese Unie zijn vastgesteld; of
4° voor zover de verwerking noodzakelijk is voor wetenschappelijk, historisch of statistisch onderzoek of met het oog op archivering; of
5° indien de betrokkene uitdrukkelijke schriftelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden en de verwerking tot die doeleinden blijft beperkt; of
6° indien de verwerking betrekking heeft op de persoonsgegevens die kennelijk door de betrokkene op eigen initiatief openbaar zijn gemaakt voor een of meer welbepaalde doeleinden en de verwerking tot die doeleinden blijft beperkt.

§ 2. De verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker stellen een lijst op van de categorieën van personen die toegang hebben tot de persoonsgegevens, met een beschrijving van hun hoedanigheid ten opzichte van de verwerking van de beoogde gegevens. Deze lijst wordt ter beschikking gehouden van de bevoegde toezichthoudende autoriteit.
De verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling, ertoe gehouden zijn het vertrouwelijke karakter van de betrokken gegevens in acht te nemen.

HOOFDSTUK III. - Beperkingen op de rechten van de betrokkene

Art. 11.

§ 1. In toepassing van artikel 23 van de Verordening, zijn de artikelen 12 tot 22 en 34 van de Verordening alsook het principe van transparantie van de verwerking bedoeld in artikel 5 van de Verordening, niet van toepassing op verwerkingen van persoonsgegevens rechtstreeks of onrechtstreeks afkomstig van de overheden bedoeld in titel 3, ten aanzien van :
1° de overheden en personen bedoeld in artikelen 14, 16 en 19 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten naar wie deze gegevens rechtstreeks of onrechtstreeks werden overgebracht door de overheden bedoeld in titel 3;
2° de overheden en personen bedoeld in artikel 2, eerste lid, 2°, van de wet van 10 juli 2006 betreffende de analyse van de dreiging en in artikel 44/11/3ter, §§ 2 en 3, en artikel 44/11/3quater van de wet van 5 augustus 1992 op het politieambt, en die onder het toepassingsgebied van titel 1 vallen, en aan wie deze gegevens werden overgemaakt.

§ 2. De verwerkingsverantwoordelijke bedoeld in deze titel die in het bezit is van zulke gegevens deelt deze niet mee aan de betrokkene tenzij :
1° de wet hem hiertoe verplicht in het kader van een geschillenprocedure; of
2° de betrokken overheid bedoeld in titel 3 hem dit toestaat.
De verwerkingsverantwoordelijke of de bevoegde overheid deelt niet mee dat hij in het bezit is van gegevens die van overheden bedoeld in titel 3 afkomstig zijn.

§ 3. De beperkingen bedoeld in paragraaf 1 hebben eveneens betrekking op de logbestanden van de verwerkingen van een overheid bedoeld in titel 3 in de gegevensbanken van de verwerkingsverantwoordelijken bedoeld in deze titel waartoe de overheid rechtstreeks toegang heeft.

§ 4. De verwerkingsverantwoordelijke bedoeld in deze titel die gegevens verwerkt die rechtstreeks of onrechtstreeks afkomstig zijn van de overheden bedoeld in titel 3 beantwoordt minstens aan de volgende voorwaarden :

1° hij neemt de gepaste technische of organisatorische maatregelen om ervoor te zorgen dat de toegang tot de gegevens en de verwerkingsmogelijkheden beperkt zijn tot hetgeen de personen nodig hebben om hun functies uit te oefenen of tot hetgeen nodig is voor de behoeften van de dienst;
2° hij neemt de gepaste technische of organisatorische maatregelen om de persoonsgegevens te beschermen tegen toevallige of niet-toegestane vernietiging, tegen toevallig verlies en tegen wijziging of elke andere niet-toegestane verwerking van die gegevens.
De leden van het personeel van de verwerkingsverantwoordelijke die de gegevens bedoeld in het eerste lid verwerken, zijn bovendien gebonden door de discretieplicht.

§ 5. Wanneer een verzoek of een klacht aanhangig wordt gemaakt bij de toezichthoudende autoriteit bedoeld in de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, waarbij de verwerkingsverantwoordelijke melding maakt van de toepassing van dit artikel, wendt de toezichthoudende autoriteit eerste zich tot het Vast Comité I opdat het de nodige verificaties verricht bij de autoriteit bedoeld in titel 3.
Na ontvangst van het antwoord van het Vast Comité I, brengt de Gegevensbeschermingsautoriteit de betrokkene enkel op de hoogte van de resultaten van de verificatie die betrekking hebben op persoonsgegevens die niet van de autoriteiten bedoeld in titel 3 afkomstig zijn, die de toezichthoudende autoriteit wettelijk gehouden is mee te delen.
Indien het verzoek of de klacht enkel betrekking heeft op persoonsgegevens afkomstig van een autoriteit bedoeld in titel 3, antwoordt de Gegevensbeschermingsautoriteit, na ontvangst van het antwoord van het Vast Comité I, dat de nodige verificaties werden verricht.

Art. 12. In toepassing van artikel 23 van de Verordening, is een verwerkingsverantwoordelijke die persoonsgegevens meedeelt aan een overheid bedoeld in ondertitels 2 en 4 van titel 3 van deze wet niet onderworpen aan de artikelen 14.1.e en 15.1.c van de Verordening en aan artikel 20,

§ 1, 6°, van deze wet en mag de betrokkene niet van deze overdracht op de hoogte brengen.

Art. 13. Wanneer een overheid bedoeld in ondertitels 1 en 6 van titel 3 over een rechtstreekse toegang of over een rechtstreekse bevraging van een gegevensbank van de openbare of private sector beschikt, worden zijn verwerkingen van persoonsgegevens in deze gegevensbank beschermd door technische, organisatorische en individuele beveiligingsmaatregelen zodat alleen de volgende actoren toegang kunnen hebben tot de inhoud van deze verwerkingen om hun wettelijke toezichtsopdrachten uit te voeren :

1° de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke van de gegevensbank;
2° de functionaris voor gegevensbescherming van de overheid bedoeld in de ondertitels 1 en 6 van titel 3;
3° de verwerkingsverantwoordelijke van de gegevensbank of zijn gemachtigde;
4° de verwerkingsverantwoordelijke van de overheid bedoeld in de ondertitels 1 en 6 van titel 3;
5° elke andere persoon bepaald in een protocol tussen de verwerkingsverantwoordelijken voor zover de toegang past in de uitvoering van de wettelijke toezichtsopdrachten van de functionarissen voor gegevensbescherming en de verwerkingsverantwoordelijken.
De in het eerste lid vermelde beveiligingsmaatregelen zijn bedoeld om de wettelijke verplichtingen met betrekking tot de bescherming van bronnen, de bescherming van de identiteit van de agenten of de discretie van de onderzoeken van de overheden bedoeld in ondertitels 1 en 6 van titel 3 te beschermen. Zij worden ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.
Deze verwerkingen mogen enkel toegankelijk zijn voor andere doeleinden dan deze die verband houden met het toezicht indien deze doeleinden vastgelegd zijn in een protocolakkoord door de betrokken verwerkingsverantwoordelijken binnen de doeleinden voorzien door of krachtens een wet.
Het protocolakkoord duidt de persoon of personen aan waarvoor de toegang tot de logbestanden noodzakelijk is ter vervulling van elke doeleinde toegelaten in het derde lid.
De logbestanden en de in het eerste lid vermelde beveiligingsmaatregelen worden ter beschikking gesteld van het Vast Comité I.
De betrokken overheid bedoeld in titel 3 kan afwijken van het eerste lid wanneer de toegang tot zijn verwerkingen in een gegevensbank en de logbestanden geen afbreuk kan doen aan de belangen bedoeld in het tweede lid.

Art. 14.

§ 1. In toepassing van artikel 23 van de Verordening zijn de in de artikelen 12 tot 22 en 34 van de Verordening bedoelde rechten en het principe van transparantie van de verwerking bedoeld in artikel 5 van de Verordening niet van toepassing op de verwerkingen van gegevens die rechtstreeks of onrechtstreeks afkomstig zijn van de gerechtelijke overheden, de politiediensten, de algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene administratie van douane en accijnzen en de Passagiersinformatie-eenheid als bedoeld in titel 2, ten aanzien van :
1° de overheden, in de zin van artikel 5 van deze wet, aan wie de gegevens door de politiediensten werden bezorgd door of krachtens een wet, een decreet of een ordonnantie;
2° andere instanties en organen waaraan de gegevens werden bezorgd door of krachtens een wet, een decreet of een ordonnantie.

§ 2. De verwerkingsverantwoordelijke bedoeld in deze titel die in het bezit is van gegevens bedoeld in paragraaf 1 deelt deze niet mee aan de betrokkene tenzij :
1° de wet hem hiertoe verplicht in het kader van een geschillenprocedure; of
2° de gerechtelijke overheden, de politiediensten, de Algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene administratie van douane en accijnzen en de Passagiersinformatie-eenheid als bedoeld in paragraaf 1, elk voor de gegevens die hen betreffen, hem dit toestaan.
De verwerkingsverantwoordelijke of de bevoegde overheid deelt niet mee dat hij in het bezit is van gegevens die van hen afkomstig zijn.

§ 3. De beperkingen bedoeld in paragraaf 1 hebben eveneens betrekking op de logbestanden van de verwerkingen van de gerechtelijke overheden, de politiediensten, de algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene administratie van douane en accijnzen en de Passagiersinformatie-eenheid in de gegevensbanken van de verwerkingsverantwoordelijken bedoeld in deze titel waartoe deze rechstreeks toegang hebben.
Deze beperkingen zijn slechts van toepassing op de gegevens die aanvankelijk verwerkt werden voor de doeleinden bedoeld in artikel 27 van deze wet.

§ 4. De wettelijke waarborgen bedoeld in artikel 23.2 van de Verordening waaraan de overheden, organen of instellingen moeten beantwoorden, worden door of krachtens de wet bepaald.
De overheden, organen of instellingen die de gegevens verwerken die rechtstreeks of onrechtstreeks afkomstig zijn van de gerechtelijke overheden, de politiediensten, de algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene administratie van douane en accijnzen en de Passagiersinformatie-eenheid, beantwoorden minstens aan de volgende voorwaarden :
1° ze nemen de gepaste technische of organisatorische maatregelen om ervoor te zorgen dat de toegang tot de gegevens en de verwerkingsmogelijkheden beperkt zijn tot hetgeen de personen nodig hebben om hun functies uit te oefenen of tot hetgeen nodig is voor de behoeften van de dienst;
2° ze nemen de gepaste technische of organisatorische maatregelen om de persoonsgegevens te beschermen tegen toevallige of niet-toegestane vernietiging, tegen toevallig verlies en tegen wijziging of elke andere niet-toegestane verwerking van die gegevens.
De leden van de overheden, organen of instellingen die de gegevens bedoeld in § 1 verwerken, zijn bovendien gebonden door de discretieplicht.

§ 5. Elk verzoek dat betrekking heeft op de uitoefening van de rechten bedoeld in de artikelen 12 tot 22 van de Verordening en dat gericht is aan een overheid, orgaan en organisme vermeld in § 1, 1° en 2°, wordt zo snel mogelijk aan de Gegevensbeschermingsautoriteit bedoeld in de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit bezorgd.
Wanneer de Gegevensbeschermingsautoriteit rechtstreeks gevat wordt door de betrokkene of door de verwerkingsverantwoordelijke die melding maakt van de toepassing van dit artikel, verricht ze de nodige verificaties bij de betrokken overheden, organen of organismes.
Wanneer de Gegevensbeschermingsautoriteit gevat werd door de betrokkene, informeert ze de betrokkene volgens de vastgelegde wettelijke nadere regels.

§ 6. Wanneer de verwerking betrekking heeft op gegevens die aanvankelijk verwerkt werden door de politiediensten of de Algemene Inspectie van de federale politie en de lokale politie, richt de Gegevensbeschermingsautoriteit die rechtstreeks gevat wordt door de betrokkene of de verwerkingsverantwoordelijke die melding maakt van de toepassing van dit artikel, zich tot de toezichthoudende autoriteit bedoeld in artikel 71 opdat deze de nodige verificaties bij de bevoegde overheden, organen of instellingen verricht.
Wanneer de Gegevensbeschermingsautoriteit gevat werd door de betrokkene, na ontvangst van het antwoord van de autoriteit bedoeld in artikel 71, informeert de Gegevensbeschermingsautoriteit de betrokkene volgens de vastgelegde wettelijke nadere regels.

§ 7. Wanneer de verwerking betrekking heeft op gegevens die aanvankelijk verwerkt werden door de gerechtelijke overheden, richt de Gegevensbeschermingsautoriteit die rechtstreeks gevat wordt door de betrokkene of de verwerkingsverantwoordelijke die melding maakt van de toepassing van dit artikel, zich tot de toezichthoudende autoriteit die bevoegd is voor de gerechtelijke overheden opdat deze de nodige verificaties bij de bevoegde overheden, organen of instellingen, bedoeld in § 1, 1° en 2°, verricht.
Wanneer de Gegevensbeschermingsautoriteit gevat werd door de betrokkene, na ontvangst van het antwoord van de toezichthoudende autoriteit die bevoegd is voor de gerechtelijke overheden, informeert de Gegevensbeschermingsautoriteit de betrokkene volgens de vastgelegde wettelijke nadere regels.

Art. 15. In toepassing van artikel 23 van de Verordening, zijn de artikelen 12 tot 22 en 34 van de Verordening, evenals het principe van transparantie van de verwerking bedoeld in artikel 5 van de Verordening, niet van toepassing op de verwerkingen van persoonsgegevens door de Passagiersinformatie-eenheid zoals bedoeld in hoofdstuk 7 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens.
De verwerkingsverantwoordelijke deelt de gegevens bedoeld in het eerste lid niet mee aan de betrokkene tenzij de wet hem hiertoe verplicht in het kader van een geschillenprocedure.
De verwerkingsverantwoordelijke doet geen enkele melding aan de betrokkene dat hij in het bezit is van gegevens die betrekking hebben op hem.
De beperkingen bedoeld in het eerste lid hebben eveneens betrekking op de logbestanden van de verwerkingen door de Passagiersinformatie-eenheid, in de gegevensbanken van de verwerkingsverantwoordelijken bedoeld in deze titel.
Wanneer een verzoek of een klacht aanhangig wordt gemaakt bij de bevoegde toezichthoudende autoriteit waarbij de verwerkingsverantwoordelijke zich beroept op de toepassing van dit artikel, antwoordt de toezichthoudende autoriteit alleen dat de nodige verificaties zijn verricht.

Art. 16. Wanneer de persoonsgegevens in een rechterlijke beslissing of een gerechtelijk dossier zijn opgenomen of in het kader van strafrechtelijke onderzoeken en procedures worden verwerkt, worden de rechten bedoeld in de artikelen 12 tot 22 en 34 van de Verordening uitgeoefend overeenkomstig het Gerechtelijk Wetboek, het Wetboek van strafvordering, de bijzondere wetten die betrekking hebben op de strafrechtspleging en de uitvoeringsbesluiten ervan.

Art. 17. In toepassing van artikel 23 van de Verordening, mag een verwerkingsverantwoordelijke bedoeld in deze titel die persoonsgegevens meedeelt aan een gezamenlijke gegevensbank de betrokkene niet van deze overdracht op de hoogte brengen.
Onder "gezamenlijke gegevensbank" wordt het gemeenschappelijk uitoefenen van de opdrachten uitgevoerd in het kader van titel 1 en de titels 2 of 3 door meerdere overheden, gestructureerd met behulp van geautomatiseerde procedés en toegepast op persoonsgegevens, bedoeld.

HOOFDSTUK IV. - Verwerkingsverantwoordelijke en verwerker

Afdeling 1. - Algemene bepaling

Art. 18. In uitvoering van artikel 43 van de Verordening worden de certificeringsorganen geaccrediteerd, overeenkomstig de norm EN-ISO/IEC 17065 en de aanvullende eisen die door de bevoegde toezichthoudende autoriteit zijn vastgesteld, door de nationale accreditatie-instantie die is aangewezen in overeenstemming met Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93.
Afdeling 2. - Publieke sector

Art. 19. Deze afdeling is van toepassing op de politiediensten in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus, die als een overheid worden beschouwd.

Art. 20. § 1. Tenzij anders bepaald in bijzondere wetten, in uitvoering van artikel 6.2 van de Verordening formaliseert de federale overheid, wanneer zij op basis van artikel 6.1.c) en e), van de Verordening persoonsgegevens doorgeeft aan enig andere overheid of privéorgaan, voor elke type van verwerking deze doorgifte aan de hand van een protocol dat tot stand komt tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens.
Dit protocol kan in het bijzonder voorzien in :
1° de identificatie van de federale overheid die de persoonsgegevens doorgeeft alsook die van de ontvanger;
2° de identificatie van de verwerkingsverantwoordelijke binnen de overheid die de gegevens doorgeeft alsook van de bestemmeling;
3° de contactgegevens van de functionarissen voor gegevensbescherming binnen de overheid die de gegevens doorgeeft alsook van de bestemmeling;
4° de doeleinden waarvoor de persoonsgegevens worden doorgegeven;
5° de categorieën van doorgegeven persoonsgegevens en hun formaat;
6° de categorieën van ontvangers;
7° de wettelijke grondslag van de doorgifte;
8° de nadere regels inzake gehanteerde communicatie;
9° elke specifieke maatregel die de doorgifte omkadert conform het proportionaliteitsbeginsel en de vereisten inzake gegevensbescherming door ontwerp en door standaardinstellingen;
10° de toepasselijke wettelijke beperkingen met betrekking tot de rechten van de betrokkene;
11° de nadere regels inzake de rechten van de betrokkene bij de ontvanger;
12° de periodiciteit van de doorgifte;
13° de duur van het protocol;
14° de sancties die van toepassing zijn in geval van niet naleving van het protocol onverminderd titel 6.

§ 2. Het protocol wordt afgesloten na de respectievelijke adviezen van de functionaris voor gegevensbescherming van de federale overheid die houder is van de persoonsgegevens en van de bestemmeling. Deze adviezen worden toegevoegd aan het protocol. Wanneer ten minste een van deze adviezen niet gevolgd wordt door de verwerkingsverantwoordelijken vermeldt het protocol, in zijn inleidende bepalingen, de reden of redenen volgens dewelke het advies of de adviezen niet werden gevolgd.

§ 3. Het protocol wordt openbaar gemaakt op de website van de betrokken verwerkingsverantwoordelijken.

Art. 21. In uitvoering van artikel 37.4 van de Verordening wijst een privéorgaan dat persoonsgegevens verwerkt voor rekening van een federale overheid, of waaraan een federale overheid persoonsgegevens doorgeeft, een functionaris voor gegevensbescherming aan indien de verwerking van deze gegevens een hoog risico kan inhouden zoals bedoeld in artikel 35 van de Verordening.

Art. 22. Indien de verwerking van persoonsgegevens een hoog risico kan inhouden zoals bedoeld in artikel 35 van de Verordening vraagt de federale overheid voorafgaand aan de verwerking het advies van de functionaris voor gegevensbescherming.
Wanneer de federale overheid doorgaat met de uitvoering van deze verwerking tegen het advies en de aanbevelingen van de functionaris voor gegevensbescherming in, dan omkleedt hij zijn beslissing met redenen.
De motivering geeft de redenen aan voor het niet volgen van het advies of de aanbevelingen.

Art. 23. In uitvoering van artikel 35.10 van de Verordening wordt een specifieke gegevensbeschermingseffectbeoordeling verricht vóór de verwerkingsactiviteit, ook al werd reeds een algemene gegevensbeschermingseffectbeoordeling uitgevoerd in het kader van de vaststelling van de wettelijke grondslag.

HOOFDSTUK V. - Verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen

Art. 24. § 1. Onder verwerking van persoonsgegevens voor journalistieke doeleinden wordt verstaan de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt.

§ 2. De artikelen 7 tot 10, 11.2, 13 tot 16, 18 tot 20 en 21.1 van de Verordening zijn niet van toepassing op verwerkingen van persoonsgegevens voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

§ 3. De artikelen 30.4, 31, 33 en 36 van de Verordening zijn niet van toepassing op de verwerkingen voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen wanneer door de toepassing ervan een voorgenomen publicatie in het gedrang wordt gebracht of het een controlemaatregel voorafgaandelijk aan de publicatie van een artikel zou uitmaken.

§ 4. De artikelen 44 tot 50 van de Verordening zijn niet van toepassing op doorgiften van persoonsgegevens verricht voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen aan derde landen of internationale organisaties in de mate dat het nodig is om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie.

§ 5. Artikel 58 van de Verordening is niet van toepassing op verwerkingen van persoonsgegevens voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen wanneer de toepassing ervan aanwijzingen zou verschaffen over de bronnen van informatie of een controlemaatregel voorafgaandelijk aan de publicatie van een artikel zou uitmaken.

TITEL 2. - De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde overheden met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid

HOOFDSTUK I. - Algemene bepalingen

Art. 25. Deze titel voorziet in de omzetting van de richtlijn 2016/680/EU van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad.

Art. 26. Voor de toepassing van deze titel wordt verstaan onder :


1° "persoonsgegevens" : alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, hierna genoemd "de betrokkene"; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2° "verwerking" : een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

3° "verwerkingsbeperking" : het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

4° "profilering" : elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen van deze natuurlijke persoon te analyseren of te voorspellen;

5° "pseudonimisering" : het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

6° "bestand" : elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

7° "bevoegde overheden" :
a) de politiediensten in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politie gestructureerd op twee niveaus;
b) de gerechtelijke overheden, te verstaan als de gemeenrechtelijke hoven en rechtbanken en het openbaar ministerie;
c) de Dienst Enquêtes van het Vast Comité van Toezicht op de politiediensten in het kader van zijn gerechtelijke opdrachten zoals bedoeld in artikel 16, 3e lid van de organieke wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse;
d) de Algemene Inspectie van de federale politie en van de lokale politie bedoeld in artikel 2 van de wet van 15 mei 2007 op de Algemene Inspectie en houdende diverse bepalingen betreffende de rechtspositie van sommige leden van de politiediensten;
e) de Algemene administratie van de douane en accijnzen, in het kader van haar opdracht inzake opsporing, vaststelling en vervolging van de misdrijven zoals bepaald in de algemene wet inzake douane en accijnzen van 18 juli 1977, en in de wet van 22 april 2003 houdende toekenning van de hoedanigheid van officier van gerechtelijke politie aan bepaalde ambtenaren van de administratie der douane en accijnzen;
f) de Passagiersinformatie-eenheid bedoeld in hoofdstuk 7 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens;
g) de Cel voor financiële informatieverwerking bedoeld in artikel 76 van de wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten;
h) de Dienst Enquêtes van het Vast Comité van Toezicht op de inlichtingen- en veiligheidsdiensten in het kader van zijn gerechtelijke opdrachten zoals bedoeld in artikel 40, derde lid, van de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse;

8° "verwerkingsverantwoordelijke" : de bevoegde overheid die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer de doeleinden van en de middelen voor die verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verwerkingsverantwoordelijke de entiteit die door of krachtens de wet, het decreet of de ordonnantie als de verwerkingsverantwoordelijke wordt aangewezen;

9° "verwerker" : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke of een andere verwerker persoonsgegevens verwerkt;

10° "ontvanger" : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie of waaraan de persoonsgegevens worden bekendgemaakt. Overheden die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig de wet, het decreet of de ordonnantie, gelden echter niet als ontvangers; de verwerking van die persoonsgegevens door deze overheidsinstanties voldoet aan de toepasselijke regels inzake gegevensbescherming overeenkomstig de doeleinden van de verwerking;

11° "inbreuk op de beveiliging" : een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

12° "genetische gegevens" : persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

13° "biometrische gegevens" : persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

14° "gezondheidsgegevens" : persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, met inbegrip van de persoonsgegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven;

15° "toezichthoudende autoriteit" : de onafhankelijke overheidsinstantie die bij wet belast is met het toezicht op de toepassing van deze titel;

16° "internationale organisatie" : een organisatie en de daaronder vallende internationaal publiekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen;

17° "internationale overeenkomst" : elke van kracht zijnde bilaterale of multilaterale internationale overeenkomst tussen lidstaten van de Europese Unie en derde landen op het gebied van justitiële samenwerking en/of politiële samenwerking.

Art. 27. Deze titel is van toepassing op de verwerkingen van persoonsgegevens door de bevoegde overheden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

HOOFDSTUK II. - Beginselen van verwerking

Art. 28. De persoonsgegevens :
1° worden rechtmatig en eerlijk verwerkt;
2° worden voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt;
3° zijn toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt;
4° zijn juist en worden zo nodig geactualiseerd; alle redelijke maatregelen worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;
5° worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt;
6° worden met gebruikmaking van passende technische of organisatorische maatregelen op een dusdanige manier verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Art. 29. § 1. Verdere verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een doeleinde vermeld in artikel 27, ander dan dat waarvoor de persoonsgegevens werden verzameld, is toegelaten voor zover :
1° de verwerkingsverantwoordelijke overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst gemachtigd is deze persoonsgegevens voor een dergelijk doeleinde te verwerken; en
2° de verwerking noodzakelijk is en in verhouding staat overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.
§ 2. De persoonsgegevens kunnen niet verder verwerkt worden door dezelfde of een andere verwerkingsverantwoordelijke voor een ander doeleinde dan dat waarvoor de persoonsgegevens werden verzameld, indien dat doeleinde niet ondergebracht kan worden onder de doeleinden vermeld in artikel 27, tenzij deze verdere verwerking is toegestaan overeenkomstig de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.
§ 3. Wanneer de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst specifieke voorwaarden oplegt voor de verwerking, stelt de bevoegde overheid die de gegevens doorzendt, de ontvanger van die persoonsgegevens in kennis van de voorwaarden en de verplichting om die na te leven.
§ 4. De bevoegde overheden die de gegevens doorzenden aan de ontvangers in de andere lidstaten van de Europese Unie, mogen geen bijkomende specifieke voorwaarden doen gelden dan degene die gelden voor de nationale gegevensdoorgifte.
§ 5. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van dit artikel en kan de naleving ervan aantonen.

Art. 30. Behoudens de gevallen waarin de maximale bewaartermijn van de gegevens wordt bepaald in de Europese regelgeving of de internationale overeenkomst die de basis vormt voor de betrokken bewaring, bepaalt de wet, het decreet of de ordonnantie de maximale bewaartermijn. Na afloop van die termijn worden de gegevens gewist.
In afwijking van het eerste lid kan de wet, het decreet of de ordonnantie voorzien dat na afloop van een eerste bewaartermijn een analyse moet worden uitgevoerd op basis van verschillende noodzakelijkheids- en proportionaliteitscriteria om te bepalen of het nodig is dat de gegevens bewaard blijven, en in voorkomend geval, de nieuwe bewaartermijn.
In dat geval voorziet de wet, het decreet of de ordonnantie in een maximale bewaartermijn.

Art. 31. De verwerkingsverantwoordelijke maakt in voorkomend geval en voor zover mogelijk een duidelijk onderscheid tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals :
1° personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen;
2° personen die voor een strafbaar feit zijn veroordeeld;
3° slachtoffers van een strafbaar feit, of personen ten aanzien van wie bepaalde feiten aanleiding geven tot het vermoeden dat zij het slachtoffer zouden kunnen worden van een strafbaar feit;
4° andere personen die bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafrechtelijke procedure, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een van de personen bedoeld in de bepalingen onder 1° en 2°.

Art. 32. § 1. Persoonsgegevens die op feiten zijn gebaseerd, worden voor zover mogelijk onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.
§ 2. De bevoegde overheden nemen alle redelijke maatregelen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar worden gesteld. Daartoe controleert iedere bevoegde overheid, voor zover mogelijk, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar worden gesteld.
Voor zover mogelijk wordt bij de doorzending van persoonsgegevens te allen tijde de noodzakelijke aanvullende informatie worden toegevoegd aan de hand waarvan de ontvangende bevoegde overheid de mate van juistheid, volledigheid en betrouwbaarheid van persoonsgegevens kan beoordelen, alsmede de mate waarin ze actueel zijn.
§ 3. Indien blijkt dat onjuiste persoonsgegevens zijn doorgezonden, of dat de persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de persoonsgegevens gerectificeerd of gewist, of wordt de verwerking beperkt overeenkomstig artikel 39.
Art. 33. § 1. De verwerking is rechtmatig indien :
1° ze noodzakelijk is voor de uitvoering van een opdracht uitgevoerd door een overheid bevoegd voor de in artikel 27, bedoelde doeleinden; en
2° ze gebaseerd is op een wettelijke of reglementaire verplichting.
§ 2. De wettelijke of reglementaire verplichting regelt ten minste de categorieën van persoonsgegevens die verwerkt moeten worden en de doeleinden van de verwerking.
Art. 34. § 1. Verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is en geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en enkel in een van de volgende gevallen :
1° wanneer de verwerking door de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst is toegestaan;
2° wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere natuurlijke persoon;
3° wanneer de verwerking betrekking heeft op gegevens die kennelijk openbaar zijn gemaakt door de betrokkene.
§ 2. De passende waarborgen zoals bedoeld in paragraaf 1 voorzien ten minste in dat de bevoegde overheid of de verwerkingsverantwoordelijke een lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens opstelt, met een beschrijving van hun hoedanigheid ten opzichte van de verwerking van de beoogde gegevens. Deze lijst wordt ter beschikking gehouden van de bevoegde toezichthoudende autoriteit.
De bevoegde overheid waakt erover dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijke karakter van de betrokken gegevens in acht te nemen.

Art. 35. Uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, zijn toegestaan als de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, met inbegrip van ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.
Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 34 bedoelde bijzondere categorieën van persoonsgegevens, is verboden.

HOOFDSTUK III. - Rechten van de betrokkene

Art. 36.

§ 1. De verwerkingsverantwoordelijke neemt passende maatregelen om de in artikel 37 bedoelde informatie te verstrekken en mededelingen te doen bedoeld in de artikelen 35, 38 tot 41 en artikel 62 in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. De informatie wordt op elke passende manier, ook elektronisch, verstrekt. Over het algemeen, verstrekt de verwerkingsverantwoordelijke de informatie in dezelfde vorm als het verzoek.

§ 2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 35 en 38 tot 41.

§ 3. De verwerkingsverantwoordelijke of de toezichthoudende autoriteit, in het geval bedoeld in artikel 41, informeert de betrokkene schriftelijk, zonder onnodige vertraging met betrekking tot de opvolging van zijn verzoek.

§ 4. Eenieder heeft het recht om kosteloos de informatie bedoeld in artikel 37, te verkrijgen en de maatregelen bedoeld in de artikelen 35, 38 tot 41 en 62, te laten nemen. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel :
1° een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het nemen van de gevraagde maatregelen gepaard gaan; ofwel
2° weigeren gevolg te geven aan het verzoek.
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

§ 5. Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het in artikel 38 of 39 bedoelde verzoek indient, kan hij om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.

Art. 37.

§ 1. Teneinde de betrokkene de mogelijkheid te bieden zijn recht op informatie uit te oefenen, stelt de verwerkingsverantwoordelijke de betrokkene de volgende informatie ter beschikking :
1° de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
2° in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
3° de doeleinden van de verwerking;
4° het bestaan van het recht om klacht in te dienen bij de toezichthoudende autoriteit, en de contactgegevens van voornoemde autoriteit;
5° het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om toegang tot en rectificatie of wissing van hem betreffende persoonsgegevens, en beperking van de verwerking van hem betreffende persoonsgegevens;
6° de rechtsgrond van de verwerking;
7° de termijn gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
8° in voorkomend geval, de categorieën van ontvangers van de persoonsgegevens;
9° indien noodzakelijk, bijkomende informatie, in het bijzonder wanneer de persoonsgegevens zonder medeweten van de betrokkene worden verzameld.

§ 2. De in paragraaf 1 bedoelde informatie kan bij wet worden uitgesteld of beperkt dan wel achterwege worden gelaten, voor zover een dergelijke maatregel in een democratische samenleving, met naar behoren inachtneming van de fundamentele rechten en de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om :
1° belemmering van strafrechtelijke of andere gereglementeerde onderzoeken, opsporingen of procedures te voorkomen;
2° nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;
3° de openbare veiligheid te beschermen;
4° de nationale veiligheid te beschermen;
5° de rechten en vrijheden van anderen te beschermen.

§ 3. Behoudens de gevallen waarin de Europese regelgeving of de internationale overeenkomst dit bepaalt, kan de wet, het decreet of de ordonnantie bepalen welke verwerkingscategorieën geheel of gedeeltelijk onder één van de punten opgesomd in paragraaf 2 kunnen vallen.

§ 4. De rechten bedoeld in dit hoofdstuk, voor wat betreft de gegevensverwerkingen van de hoven en rechtbanken van het gemeen recht en het openbaar ministerie, worden uitsluitend uitgeoefend binnen de grenzen en conform de regels en nadere regels van het Gerechtelijk Wetboek, het Wetboek van strafvordering, de bijzondere wetten die betrekking hebben op de strafrechtspleging en de uitvoeringsbesluiten ervan.

Art. 38.

§ 1. Teneinde de betrokkene de mogelijkheid te bieden zijn recht op verzoek tot toegang tot zijn persoonsgegevens uit te oefenen, stelt de verwerkingsverantwoordelijke de betrokkene de volgende informatie ter beschikking :
1° de bevestiging dat de hem betreffende persoonsgegevens al dan niet worden verwerkt en toegang tot die gegevens;
2° de doeleinden en de rechtsgrond van de verwerking;
3° de betreffende categorieën van persoonsgegevens;
4° de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn bekendgemaakt;
5° de bewaartermijn, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
6° dat hij het recht heeft van de verwerkingsverantwoordelijke de rectificatie of wissing van hem betreffende persoonsgegevens of beperking van verwerking van hem betreffende persoonsgegevens te vragen;
7° dat hij het recht heeft klacht in te dienen bij de toezichthoudende autoriteit, en de contactgegevens van deze autoriteit;
8° de persoonsgegevens die worden verwerkt, en alle beschikbare informatie over de oorsprong van die gegevens.

§ 2. De wet, het decreet of de ordonnantie kan het recht op toegang van de betrokkene geheel of gedeeltelijk beperken, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om :
1° belemmering van strafrechtelijke of andere gereglementeerde onderzoeken, opsporingen of procedures te voorkomen;
2° nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;
3° de openbare veiligheid te beschermen;
4° de nationale veiligheid te beschermen;
5° de rechten en vrijheden van anderen te beschermen.

§ 3. In de in paragraaf 2 bedoelde gevallen stelt de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis van een eventuele weigering of beperking van de toegang en van de redenen voor die weigering of beperking. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan een van de doeleinden van paragraaf 2 zou ondermijnen. De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de bevoegde toezichthoudende autoriteit of om een beroep in te stellen bij de rechter.
§ 4. De verwerkingsverantwoordelijke documenteert de feitelijke of juridische redenen die aan het besluit ten grondslag liggen. Die informatie wordt ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.

Art. 39.

§ 1. De betrokkene heeft het recht om zonder onnodige vertraging van de verwerkingsverantwoordelijke de rectificatie en eventueel de aanvulling te verkrijgen van hem betreffende onjuiste persoonsgegevens.

§ 2. De verwerkingsverantwoordelijke wist de persoonsgegevens zonder onnodige vertraging wanneer de verwerking indruist tegen de bepalingen goedgekeurd krachtens artikelen 28, 29, 33 of 34 of wanneer de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke gehouden is.

§ 3. In plaats van tot wissing over te gaan, mag de verwerkingsverantwoordelijke de verwerking beperken wanneer :
1° de juistheid van de persoonsgegevens door de betrokkene wordt betwist en niet kan worden geverifieerd of de gegevens al dan niet juist zijn; of
2° de persoonsgegevens als bewijsmateriaal moeten worden bewaard.
Wanneer de verwerking op grond van het eerste lid, 1°, van het eerste lid wordt beperkt, informeert de verwerkingsverantwoordelijke de betrokkene alvorens de verwerkingsbeperking op te heffen.

§ 4. De verwerkingsverantwoordelijke stelt de betrokkene schriftelijk in kennis van een eventuele weigering tot rectificatie of wissing van persoonsgegevens of verwerkingsbeperking, en van de redenen voor die weigering. Deze informatie kan bij wet, decreet of ordonnantie, worden beperkt, voor zover een dergelijke verwerkingsbeperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om :
1° belemmering van strafrechtelijke of andere gereglementeerde onderzoeken, opsporingen of procedures te voorkomen;
2° nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;
3° de openbare veiligheid te beschermen;
4° de nationale veiligheid te beschermen;
5° de rechten en vrijheden van anderen te beschermen.
De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de bevoegde toezichthoudende autoriteit of om beroep in rechte in te stellen.

§ 5. De verwerkingsverantwoordelijke deelt de rectificatie van de onjuiste persoonsgegevens mee aan de overheid van wie de onjuiste persoonsgegevens afkomstig zijn.

§ 6. In geval van rectificatie, wissing of verwerkingsbeperking bedoeld in paragrafen 1 tot 3, stelt de verwerkingsverantwoordelijke de ontvangers daarvan in kennis, en rectificeren of wissen de ontvangers de persoonsgegevens of beperken ze de onder hun bevoegdheid vallende verwerking van persoonsgegevens.

Art. 40. De verwerkingsverantwoordelijke die een verzoek ontvangt om een recht uit te oefenen bedoeld in de artikelen 36 tot 39, bezorgt de verzoeker onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek een gedagtekend ontvangstbewijs.

Art. 41. In de in de artikelen 37, § 2, 38, § 2, 39, § 4, en 62, § 1, bedoelde gevallen, kan de wet, het decreet of de ordonnantie, bepalen dat de rechten van de betrokkene door de bevoegde toezichthoudende autoriteit worden uitgeoefend, met respect voor de principes van noodzakelijkheid en proportionaliteit in een democratische samenleving.
Onverminderd artikel 44, in het geval bedoeld in het eerste lid stelt de verwerkingsverantwoordelijke de betrokkene ervan in kennis dat hij zijn rechten door de bevoegde toezichthoudende autoriteit uitoefent.
In het geval bedoeld in het eerste lid, dient de betrokkene het verzoek om zijn rechten uit te oefenen in bij de bevoegde toezichthoudende autoriteit.

Art. 42. Het verzoek tot uitoefening van de rechten bedoeld in dit hoofdstuk voor wat betreft de politiedienst in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politie gestructureerd op twee niveaus of de algemene inspectie van de federale politie en de lokale politie, wordt aan de toezichthoudende autoriteit bedoeld in artikel 71 gericht.
In de in de artikelen 37, § 2, 38, § 2, 39, § 4, en 62, § 1, bedoelde gevallen deelt de toezichthoudende autoriteit bedoeld in artikel 71 uitsluitend mee aan de betrokkene dat de nodige verificaties werden verricht.
Niettegenstaande het tweede lid kan de toezichthoudende autoriteit bedoeld in artikel 71 aan de betrokkene bepaalde contextuele informatie verstrekken.
De Koning, na advies van de toezichthoudende autoriteit bedoeld in artikel 71, bepaalt de categorieën van contextuele informatie die door deze toezichthoudende autoriteit aan de betrokkene kunnen worden medegedeeld.

Art. 43. Voor wat betreft de gegevensverwerkingen van de douanediensten bedoeld in artikel 26, 7°, e), en de Cel voor financiële informatieverwerking bedoeld in artikel 26, 7°, g), worden de rechten van de betrokkene zoals bedoeld in dit hoofdstuk uitgeoefend door de bevoegde toezichthoudende autoriteit.
De bevoegde toezichthoudende autoriteit deelt uitsluitend aan de betrokkene mede dat de nodige verificaties werden verricht.
In afwijking van het tweede lid kan de bevoegde toezichthoudend autoriteit aan de betrokkene bepaalde contextuele informatie verstrekken.
De Koning bepaalt na advies van de bevoegde toezichthoudende autoriteit de categorieën van contextuele informatie die door de bevoegde toezichthoudende autoriteit aan de betrokkene kunnen worden medegedeeld.

Art. 44. Wanneer de persoonsgegevens in een rechterlijke beslissing of een gerechtelijk dossier zijn opgenomen of in het kader van strafrechtelijke onderzoeken en procedures worden verwerkt, worden de in de artikelen 37, 38, § 1, 39 en 41, tweede lid, bedoelde rechten uitgeoefend overeenkomstig het Gerechtelijk Wetboek, het Wetboek van strafvordering, de bijzondere wetten die betrekking hebben op de strafrechtspleging en de uitvoeringsbesluiten ervan.

Art. 45.

§ 1. De artikelen 36 tot 44 en 62 zijn niet van toepassing op de verwerkingen van persoonsgegevens die rechtstreeks of onrechtstreeks afkomstig zijn van de overheden bedoeld in titel 3 van deze wet, met betrekking tot de verwerkingsverantwoordelijken en de bevoegde overheden bedoeld in deze titel naar wie deze gegevens werden overgebracht.

§ 2. De verwerkingsverantwoordelijke of de bevoegde overheid bedoeld in deze titel die in het bezit is van zulke gegevens deelt deze niet mee aan de betrokkene tenzij :
1° de wet hem hiertoe verplicht in het kader van een geschillenprocedure; of
2° de betrokken overheid bedoeld in titel 3 hem dit toestaat.

§ 3. De verwerkingsverantwoordelijke of de bevoegde overheid deelt niet mee dat hij of zij in het bezit is van gegevens die van overheden bedoeld in titel 3 afkomstig zijn.

§ 4. De verwerkingsverantwoordelijke bedoeld in deze titel die gegevens verwerkt die rechtstreeks of onrechtstreeks afkomstig zijn van de overheden bedoeld in titel 3 beantwoordt minstens aan de volgende voorwaarden :
1° hij neemt nemen de gepaste technische of organisatorische maatregelen om ervoor te zorgen dat de toegang tot de gegevens en de verwerkingsmogelijkheden beperkt zijn tot hetgeen de personen nodig hebben om hun functies uit te oefenen of tot hetgeen nodig is voor de behoeften van de autoriteit bedoeld in titel 3;
2° hij neemt de gepaste technische of organisatorische maatregelen om de persoonsgegevens te beschermen tegen toevallige of niet-toegestane vernietiging, tegen toevallig verlies en tegen wijziging of elke andere niet-toegestane verwerking van die gegevens.
De leden van het personeel van de verwerkingsverantwoordelijke die de gegevens bedoeld in het eerste lid verwerken, zijn gebonden door de discretieplicht.

§ 5. De beperkingen bedoeld in paragraaf 1 hebben eveneens betrekking op de logbestanden van de verwerkingen van een overheid bedoeld in titel 3 in de gegevensbanken van de verwerkingsverantwoordelijken en van de bevoegde overheden bedoeld in deze titel waartoe de overheid bedoeld in titel 3 rechtstreeks toegang heeft.

§ 6. Wanneer een verzoek of een klacht aanhangig wordt gemaakt bij de bevoegde toezichthoudende autoriteit waarbij de verwerkingsverantwoordelijke zich beroept op de toepassing van dit artikel, wendt deze toezichthoudende autoriteit zich tot het Vast Comité I opdat het de nodige verificaties bij de overheid bedoeld in titel 3 verricht.
Na ontvangst van het antwoord van het Vast Comité I brengt de bevoegde toezichthoudende autoriteit de betrokkene enkel op de hoogte van de resultaten van de verificatie, die betrekking hebben op persoonsgegevens die niet van een overheid bedoeld in titel 3 afkomstig zijn, die ze wettelijk gehouden is mee te delen.
Indien het verzoek of de klacht enkel betrekking heeft op persoonsgegevens afkomstig van een overheid bedoeld in titel 3, antwoordt de bevoegde toezichthoudende autoriteit, na ontvangst van het antwoord van het Vast Comité I, dat de nodige verificaties werden verricht.

Art. 46. Een verwerkingsverantwoordelijke of een bevoegde overheid bedoeld in deze titel die persoonsgegevens meedeelt aan een overheid bedoeld in ondertitels 2 en 4 van titel 3 van deze wet is niet onderworpen aan de artikelen 37, § 1, 8° en 38, § 1, 4° en mag de betrokkene niet van deze overdracht op de hoogte brengen.

Art. 47. Wanneer een overheid bedoeld in ondertitels 1 en 6 van titel 3 van deze wet over een rechtstreekse toegang of over een rechtstreekse bevraging van een gegevensbank van de publieke sector beschikt, wordt de verwerking van de persoonsgegevens beschermd door technische, organisatorische en persoonlijke beveiligingsmaatregelen zodat alleen de volgende actoren toegang kunnen hebben tot de inhoud van deze verwerkingen in het kader van de doeleinden bedoeld in artikel 56, § 2 :
1° de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke van de gegevensbank of de persoon die hij daartoe machtigt;
2° de functionaris voor gegevensbescherming van de overheid bedoeld in ondertitels 1 en 6 van titel 3;
3° de verwerkingsverantwoordelijke van de gegevensbank of de persoon die hij daartoe machtigt;
4° de verwerkingsverantwoordelijke van de overheid bedoeld in ondertitels 1 en 6 van titel 3;
5° elke andere persoon bepaald in een protocol tussen de verwerkingsverantwoordelijken, voor wie de toegang noodzakelijk is om de wettelijke toezichtsopdrachten te vervullen.
De beveiligingsmaatregelen bedoeld in het eerste lid zijn bedoeld om de wettelijke verplichtingen met betrekking tot de bescherming van bronnen, de bescherming van de identiteit van de agenten of het geheim van de onderzoeken van de overheden bedoeld in titel 3, ondertitels 1 en 6, na te komen.
De verwerkingen bedoeld in het eerste lid mogen enkel toegankelijk zijn voor andere doeleinden dan diegene die verband houden met het toezicht indien deze doeleinden, uit de door of krachtens een wet vastgelegde doeleinden, zijn vastgelegd in een protocolakkoord tussen de betrokken verwerkingsverantwoordelijken.
Het protocolakkoord bedoeld in het derde lid wijst de persoon of de personen aan waarvoor de toegang tot de logbestanden noodzakelijk is om elk van de doeleinden vermeld in het derde lid te vervullen.
De logbestanden en de daaraan gekoppelde technische, organisatorische en persoonlijke veiligheidsmaatregelen worden ter beschikking gesteld van het Vast Comité I.
De betrokken overheid bedoeld in ondertitels 1 en 6 van titel 3 kan afwijken van het eerste lid wanneer de toegang tot haar verwerkingen in een gegevensbank en tot de logbestanden hiervan geen afbreuk kan doen aan de belangen bedoeld in het tweede lid.

Art. 48. Een verwerkingsverantwoordelijke bedoeld in deze titel die persoonsgegevens meedeelt aan een gezamenlijke databank mag de betrokkene niet van deze overdracht op de hoogte brengen.
Onder "gezamenlijke databank" wordt het gemeenschappelijk uitoefenen van de opdrachten uitgevoerd in het kader van titels 2 en 3 door meerdere overheden, gestructureerd met behulp van geautomatiseerde procedés en toegepast op persoonsgegevens, bedoeld.

Art. 49. De artikelen 36 tot 44 en 62 zijn niet van toepassing op de verwerkingen van persoonsgegevens door de Passagiersinformatie-eenheid.
De verwerkingsverantwoordelijke deelt de gegevens bedoeld in het eerste lid niet mee aan de betrokkene tenzij de wet hem hiertoe verplicht in het kader van een geschillenprocedure.
De verwerkingsverantwoordelijke doet geen enkele melding aan de betrokkene dat hij in het bezit is van gegevens die betrekking hebben op hem.
De beperkingen bedoeld in het eerste lid hebben eveneens betrekking op de logbestanden van de verwerkingen door de Passagiersinformatie-eenheid, in de gegevensbanken van de verwerkingsverantwoordelijken bedoeld in deze titel.
Wanneer een verzoek of een klacht aanhangig wordt gemaakt bij de bevoegde toezichthoudende autoriteit waarbij de verwerkingsverantwoordelijke zich beroept op de toepassing van dit artikel, antwoordt deze alleen dat de nodige verificaties zijn verricht.

HOOFDSTUK IV. - Verwerkingsverantwoordelijke en verwerker

Afdeling 1. - Organisatorische en technische maatregelen

Art. 50. Rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten deze maatregelen de uitvoering van een passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.
De verwerkingsverantwoordelijke kan aantonen dat de verwerking in overeenstemming met de wet wordt uitgevoerd.
Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
Art. 51. § 1. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, dienen de technische en organisatorische maatregelen, bedoeld in artikel 50, om de gegevensbeschermingsbeginselen op een doeltreffende manier door te voeren en de nodige waarborgen in de verwerking in te bouwen ter bescherming van de rechten van de betrokkenen, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf.
§ 2. De technische en organisatorische maatregelen bedoeld in artikel 50 waarborgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerkingen.
In het bijzonder waarborgen deze maatregelen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Afdeling 2. - Gezamenlijke verwerkingsverantwoordelijken
Art. 52. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
Een onderlinge regeling stelt op transparante wijze de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en om de in de artikelen 37 en 38 bedoelde informatie te verstrekken, tenzij hun respectieve verantwoordelijkheden zijn vastgesteld bij de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.
In de onderlinge regeling kan één enkel contactpunt voor de betrokkenen worden aangewezen.
Afdeling 3. - Verwerker
Art. 53. § 1. Indien de verwerking wordt toevertrouwd aan een verwerker, kiest de verwerkingsverantwoordelijke een verwerker die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen.
§ 2. De verwerker neemt een andere verwerker in dienst met voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke.
In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
§ 3. De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker :
1° uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt;
2° ervoor zorgt dat personen die gemachtigd zijn de persoonsgegevens te verwerken zich ertoe hebben verplicht geheimhouding in acht te nemen of door een passende wettelijke verplichting van geheimhouding gebonden zijn;
3° de verwerkingsverantwoordelijke met passende middelen bijstaat om de naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren;
4° na afloop van de gegevensverwerkingsdiensten, alle persoonsgegevens wist of die terugbezorgt aan de verwerkingsverantwoordelijke, en bestaande kopieën verwijdert, tenzij de bewaring van de persoonsgegevens verplicht is bij de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst;
5° aan de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de naleving van dit artikel aan te tonen;
6° aan de in de paragrafen 2 en 3 bedoelde voorwaarden voor indienstneming van een andere verwerker voldoet.
§ 4. De in paragraaf 3 bedoelde overeenkomst of andere rechtshandeling is gesteld in schriftelijke vorm, daaronder begrepen in elektronische vorm.
§ 5. Indien een verwerker in strijd met deze titel de doeleinden en middelen van de verwerking bepaalt, wordt die verwerker met betrekking tot deze verwerking als de verwerkingsverantwoordelijke beschouwd.
Art. 54. De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt die uitsluitend in opdracht van de verwerkingsverantwoordelijke, of krachtens de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.
Afdeling 4. - Verplichtingen
Art. 55. § 1. Elke verwerkingsverantwoordelijke en verwerker houdt een register bij van de categorieën van verwerkingsactiviteiten die onder zijn verantwoordelijkheid worden verricht. Dat register bevat de volgende elementen :
1° de naam en de contactgegevens van de verwerkingsverantwoordelijke of de verwerker, en van zijn gedelegeerde of vertegenwoordiger;
2° de naam en de contactgegevens van de functionaris voor gegevensbescherming;
3° de verwerkingsdoeleinden;
4° de categorieën van betrokkenen;
5° de categorieën van persoonsgegevens;
6° de categorieën van ontvangers;
7° de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in voorkomend geval, de documenten getuigen van het bestaan van passende waarborgen;
8° de beoogde termijnen voor het wissen van de verschillende gegevenscategorieën;
9° een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 50;
10° het gebruik van profilering;
11° de rechtsgrondslag;
12° de categorie van externe bronnen;
13° het protocol bedoeld in artikel 20 evenals het advies van de functionaris voor gegevensbescherming en de motivering bedoeld in artikel 22.
§ 2. De functionaris voor gegevensbescherming wordt betrokken bij de uitwerking en het bijhouden van het register.
§ 3. Het register wordt ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.
Art. 56. § 1. De logbestanden van tenminste de volgende verwerkingen worden bijgehouden in systemen voor geautomatiseerde verwerking : de verzameling, wijziging, raadpleging, bekendmaking, met inbegrip van de doorgiften, de combinatie en de wissing.
De logbestanden van de raadpleging en de bekendmaking maken het mogelijk om het volgende te achterhalen :
1° de redenen, de datum en het tijdstip van die verwerkingen;
2° de categorieën van personen die persoonsgegevens hebben geraadpleegd, en indien mogelijk, de identiteit van de persoon die persoonsgegevens heeft geraadpleegd;
3° de systemen die deze persoonsgegevens bekendgemaakt hebben;
4° en de categorieën van de ontvangers van die persoonsgegevens ontvangen, en indien mogelijk, de identiteit van de ontvangers van die persoonsgegevens.
De Koning kan, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van de bevoegde toezichthoudende autoriteit, andere soorten van verwerking bepalen waarvoor logbestanden moeten worden opgesteld.
§ 2. De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de persoonsgegevens en voor doeleinden bedoeld in artikel 27.
§ 3. De verwerkingsverantwoordelijke en de verwerker stellen de logbestanden desgevraagd ter beschikking van de bevoegde toezichthoudende autoriteit.
Art. 57. De verwerkingsverantwoordelijke en de verwerker werken op verzoek van de bevoegde toezichthoudende autoriteit met deze laatste samen bij het vervullen van haar opdrachten.
Art. 58. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert, verricht de verwerkingsverantwoordelijke vóór de verwerking een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
De in het eerste lid bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico's, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de persoonsgegevens te beschermen en aan te tonen dat aan deze titel is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en de andere belanghebbenden.
Art. 59. § 1. De verwerkingsverantwoordelijke of zijn verwerker raadpleegt de bevoegde toezichthoudende autoriteit van de verwerkingsverantwoordelijke voordat de verwerking van persoonsgegevens in een nieuw bestand wordt opgenomen :
1° indien uit een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 58 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken; of
2° indien de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van de betrokkenen met zich meebrengt.
De bevoegde toezichthoudende autoriteit wordt geraadpleegd bij het opstellen van een wet, een decreet of een ordonnantie, of een daarop gebaseerde reglementaire maatregel in verband met de verwerking.
§ 2. De bevoegde toezichthoudende autoriteit kan een lijst opstellen van de verwerkingen waarvoor overeenkomstig paragraaf 1 een voorafgaande raadpleging moet plaatsvinden.
§ 3. De verwerkingsverantwoordelijke verstrekt de bevoegde toezichthoudende autoriteit de gegevensbeschermingseffectbeoordeling krachtens artikel 58 en, op verzoek, alle andere informatie op grond waarvan de bevoegde toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico's voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.
§ 4. Wanneer de bevoegde toezichthoudende autoriteit van oordeel is dat de in paragraaf 1 bedoelde voorgenomen verwerking indruist tegen deze titel, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft ze binnen de zes weken na ontvangst van het verzoek om raadpleging een niet bindend schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en kan ze al haar bij de wet verleende bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De bevoegde toezichthoudende autoriteit stelt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van elke verlenging, alsook van de redenen voor de vertraging.
Art. 60. § 1. De verwerkingsverantwoordelijke en de verwerker nemen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de verwerking van persoonsgegevens bedoeld in artikel 34 van deze wet en rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, om een op het risico afgestemd beveiligingsniveau te waarborgen.
§ 2. Ten aanzien van de geautomatiseerde verwerking neemt de verwerkingsverantwoordelijke of de verwerker, na beoordeling van het risico, maatregelen om :
1° te verhinderen dat onbevoegden toegang krijgen tot de verwerkingsapparatuur;
2° te verhinderen dat onbevoegden de gegevensdragers kunnen lezen, kopiëren, wijzigen of verwijderen;
3° te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen;
4° te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur;
5° ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft;
6° ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur;
7° ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd;
8° te verhinderen dat onbevoegden persoonsgegevens kunnen lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers;
9° ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet;
10° ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd en dat de bewaarde persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem.
Art. 61. § 1. De verwerkingsverantwoordelijke meldt de inbreuk op de beveiliging zonder onnodige vertraging en indien mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen aan de bevoegde toezichthoudende autoriteit. Die verplichte kennisgeving is niet van toepassing wanneer het waarschijnlijk is dat de inbreuk op de beveiliging geen risico voor de rechten en vrijheden van natuurlijke personen met zich brengt.
Wanneer de kennisgeving aan de bevoegde toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat ze vergezeld van een motivering voor de vertraging.
§ 2. De verwerker verwittigt de verwerkingsverantwoordelijke zonder onnodige vertraging en uiterlijk binnen 72 uur zodra hij kennis heeft genomen van een inbreuk op de beveiliging.
§ 3. In de in paragraaf 1 bedoelde melding wordt met name het volgende omschreven of meegedeeld :
1° de aard van de inbreuk op de beveiliging, met inbegrip van, indien mogelijk de categorieën van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensbestanden in kwestie;
2° de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
3° de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
4° de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk op de beveiliging aan te pakken, met inbegrip, in voorkomend geval maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
§ 4. Indien en voor zover het niet mogelijk is alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige verdere vertraging in stappen worden verstrekt.
§ 5. Wanneer de inbreuk op de beveiliging betrekking heeft op persoonsgegevens die zijn doorgezonden door of aan de verwerkingsverantwoordelijke van een andere lidstaat van de Europese Unie, wordt de in paragraaf 3 bedoelde informatie zonder onnodige vertraging aan de verwerkingsverantwoordelijke van die lidstaat meegedeeld.
§ 6. De verwerkingsverantwoordelijke documenteert alle in paragraaf 1 bedoelde inbreuken op de beveiliging, met inbegrip van de feiten, de gevolgen ervan en de genomen corrigerende maatregelen. Die documentatie moet de bevoegde toezichthoudende autoriteit ertoe in staat stellen de naleving van dit artikel te controleren.
Art. 62. § 1. Wanneer de inbreuk op de beveiliging waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk op de beveiliging onverwijld mee.
§ 2. De in paragraaf 1 bedoelde mededeling aan de betrokkene bevat een omschrijving, van de aard van de inbreuk op de beveiliging en ten minste de in artikel 61, § 3, 2° tot 4°, bedoelde gegevens en maatregelen.
§ 3. De in paragraaf 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld :
1° de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk op de beveiliging betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
2° de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in paragraaf 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
3° de mededeling zou onevenredige inspanningen vergen.
In het geval bedoeld in het eerste lid, 3°, komt er daarvan een openbare mededeling of een soortgelijke maatregel waarbij de betrokkenen even doeltreffend worden geïnformeerd.
§ 4. Indien de verwerkingsverantwoordelijke de inbreuk op de beveiliging nog niet aan de betrokkene heeft gemeld, kan de bevoegde toezichthoudende autoriteit, na beraad over de kans dat de inbreuk op de beveiliging een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in paragraaf 3 bedoelde voorwaarden is voldaan.
§ 5. De in paragraaf 1 bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege worden gelaten onder de voorwaarden en om de redenen bedoeld in artikel 37, § 2.
Afdeling 5. - Functionaris voor gegevensbescherming
Art. 63. De verwerkingsverantwoordelijke wijst een of meerdere functionarissen voor gegevensbescherming aan.
De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 65 bedoelde taken te vervullen.
Het is mogelijk om voor verschillende bevoegde overheden of verwerkingsverantwoordelijken, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming aan te wijzen.
De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming openbaar en deelt die mee aan de bevoegde toezichthoudende autoriteit.
De nadere regels voor de werking, de aanwijzing en vereiste competenties worden door de Koning bepaald.
Art. 64. De verwerkingsverantwoordelijke ziet erop toe dat de functionaris voor gegevensbescherming tijdig en naar behoren bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden, wordt betrokken.
De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming de benodigde middelen ter beschikking voor het vervullen van die opdrachten en verschaft hem toegang tot de persoonsgegevens en de verwerkingen, en biedt hem de mogelijkheid zijn deskundigheid op peil te houden.
De verwerkingsverantwoordelijke ziet erop toe dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke.
Behalve bij toepassing van de artikelen 41 en 44 kunnen de betrokkenen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten.
De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn opdrachten tot geheimhouding of vertrouwelijkheid gehouden.
De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.
Art. 65. De functionaris voor gegevensbescherming vervult in het bijzonder de volgende opdrachten :
1° de verwerkingsverantwoordelijke en de werknemers die de verwerking verrichten informeren en adviseren over hun verplichtingen met betrekking tot de bescherming van persoonsgegevens;
2° toezien op de naleving van de regelgeving en de interne regels van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de bewustmaking en de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
3° desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 58;
4° met de bevoegde toezichthoudende autoriteit samenwerken;
5° optreden als contactpunt voor de bevoegde toezichthoudende autoriteit inzake met de verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 59 bedoelde voorafgaande raadpleging, en, in voorkomend geval, overleg plegen over enige andere aangelegenheid.

HOOFDSTUK V. - Doorgiften van persoonsgegevens aan derde landen of internationale organisaties

Art. 66.

§ 1. Onverminderd de bepalingen van deze titel, mogen de bevoegde overheden persoonsgegevens slechts doorgeven aan landen buiten de Europese Unie of aan een internationale organisatie, met inbegrip van verdere doorgifte aan een ander land buiten de Europese Unie of een andere internationale organisatie, indien aan de volgende voorwaarden is voldaan :
1° de doorgifte is noodzakelijk met het oog op de doeleinden van artikel 27;
2° de persoonsgegevens worden doorgegeven aan een verwerkingsverantwoordelijke in een land buiten de Europese Unie of in een internationale organisatie die een bevoegde overheid is voor de in artikel 27, bedoelde doeleinden;
3° ingeval persoonsgegevens worden doorgezonden of beschikbaar gesteld vanuit een andere lidstaat van de Europese Unie, heeft die lidstaat overeenkomstig zijn nationale recht zijn voorafgaande toestemming gegeven voor de doorgifte;
4° de Europese Commissie heeft een adequaatheidsbesluit bedoeld in artikel 67 vastgesteld, of, indien een dergelijk besluit er niet is, zijn er krachtens artikel 68 passende waarborgen geboden of gelden er afwijkingen voor specifieke situaties uit hoofde van artikel 69;
5° in het geval van een verdere doorgifte aan een ander land buiten de Europese Unie of een andere internationale organisatie, geeft de verwerkingsverantwoordelijke, toestemming voor de verdere doorgifte, na alle relevante factoren naar behoren in aanmerking te hebben genomen, met inbegrip van de ernst van het strafbare feit, het doel waarvoor de persoonsgegevens oorspronkelijk waren doorgegeven en het niveau van persoonsgegevensbescherming in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven.
§ 2. De doorgifte zonder de voorafgaande toestemming vanwege een andere lidstaat van de Europese Unie zoals bedoeld in paragraaf 1, 3°, is slechts toegelaten indien deze doorgifte van persoonsgegevens noodzakelijk is met het oog op de voorkoming van een acute en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat van de Europese Unie, en voorafgaande toestemming niet tijdig kan worden verkregen. De voor het geven van voorafgaande toestemming verantwoordelijke overheid wordt onverwijld in kennis gesteld.
Art. 67. Een doorgifte van persoonsgegevens aan een land buiten de Europese Unie of een internationale organisatie kan plaatsvinden wanneer de Europese Commissie bij adequaatheidsbesluit bepaald heeft dat het land, een gebied of één of meerdere nader bepaalde sectoren in dat land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.
Art. 68. § 1. Bij gebreke van een adequaatheidsbesluit zoals bedoeld in artikel 67, of wanneer dat is opgeheven, gewijzigd of opgeschort, kan een doorgifte van persoonsgegevens aan een land buiten de Europese Unie of een internationale organisatie slechts plaatsvinden wanneer :
1° in een juridisch bindend instrument wordt voorzien in passende waarborgen voor de bescherming van persoonsgegevens; of
2° de verwerkingsverantwoordelijke alle omstandigheden in verband met de doorgifte van persoonsgegevens heeft beoordeeld en heeft geconcludeerd dat er passende waarborgen bestaan voor de bescherming van persoonsgegevens.
§ 2. De verwerkingsverantwoordelijke informeert de bevoegde toezichthoudende autoriteit over de categorieën van doorgiften uit hoofde van paragraaf 1, 2°.
§ 3. De doorgifte gebaseerd op paragraaf 1, 2°, wordt gedocumenteerd en bevat :
1° de datum en tijd van doorgifte;
2° informatie over de ontvangende bevoegde autoriteit;
3° de reden voor de doorgifte en de doorgegeven persoonsgegevens.
De documentatie wordt desgevraagd ter beschikking van de bevoegde toezichthoudende autoriteit gesteld.
Art. 69. § 1. Bij gebreke van een adequaatheidsbesluit zoals bedoeld in artikel 67, of van passende waarborgen zoals bedoeld in artikel 68, is een doorgifte of een categorie van doorgiften van persoonsgegevens aan een land buiten de Europese Unie of een internationale organisatie slechts toegelaten indien de doorgifte noodzakelijk is :
1° om de vitale belangen van de betrokkene of van een andere persoon te beschermen;
2° om de legitieme belangen van de betrokkene te beschermen wanneer de wet daarin voorziet;
3° om een onmiddellijke en ernstige bedreiging van de openbare veiligheid te voorkomen;
4° in uitzonderlijke gevallen met het oog op de doeleinden van artikel 27;
5° in specifieke gevallen met het oog op het instellen, uitoefenen of verdedigen van rechtsvorderingen in verband met de doeleinden van artikel 27.
§ 2. Persoonsgegevens worden niet doorgegeven indien de bevoegde autoriteit die de doorgifte verricht, meent dat de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen dan het algemeen belang van de doorgifte bedoeld in paragraaf 1, 4° en 5°.
§ 3. De doorgifte bedoeld in paragraaf 1, 2°, wordt gedocumenteerd en bevat :
1° de datum en tijd van doorgifte;
2° informatie over de ontvangende bevoegde autoriteit;
3° de reden voor de doorgifte en de doorgegeven persoonsgegevens.
De documentatie wordt desgevraagd ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.
Art. 70. § 1. In afwijking van artikel 66, § 1, 2°, en onverminderd de internationale overeenkomsten en bepalingen van deze titel, mogen de bevoegde autoriteiten, in bepaalde specifieke gevallen, persoonsgegevens rechtstreeks doorgeven aan ontvangers in landen buiten de Europese Unie die geen bevoegde autoriteit zijn voor de doeleinden in artikel 27, voor zover aan alle onderstaande voorwaarden is voldaan :
1° de doorgifte is strikt noodzakelijk voor de uitvoering van de opdrachten van de bevoegde autoriteit die de doorgifte doet;
2° de bevoegde autoriteit die de gegevens doorgeeft, stelt vast dat er geen fundamentele rechten en vrijheden van de betrokkene voorrang hebben op het algemeen belang waarvoor de overdracht in het betreffende geval vereist is;
3° de bevoegde autoriteit die de doorgifte doet, meent dat de doorgifte aan een bevoegde autoriteit binnen het desbetreffende land ondoeltreffend of ongeschikt is, met name omdat de doorgifte niet tijdig kan worden bewerkstelligd;
4° de bevoegde autoriteit in het desbetreffende land wordt zonder onnodige vertraging op de hoogte gebracht, tenzij dat ondoeltreffend of ongeschikt is;
5° de bevoegde autoriteit die de doorgifte doet, licht de ontvanger in over het nader bepaalde doel of de nader bepaalde doeleinden waarvoor de persoonsgegevens bij uitsluiting door laatstgenoemde mogen worden verwerkt, op voorwaarde dat een dergelijke verwerking noodzakelijk is.
§ 2. De bevoegde autoriteit die de doorgifte doet, stelt de toezichthoudende autoriteit in kennis van doorgiften die gebeuren in het kader van dit artikel.
§ 3. Wanneer een doorgifte is gebaseerd op paragraaf 1, wordt die gedocumenteerd.

HOOFDSTUK VI. - Onafhankelijke toezichthoudende autoriteiten

Art. 71.

§ 1. Bij de Kamer van volksvertegenwoordigers wordt een onafhankelijke toezichthoudende autoriteit op de politionele informatie opgericht, Controleorgaan op de politionele informatie genoemd.
Zij is de rechtsopvolger van het Controleorgaan op de politionele informatie opgericht bij artikel 36ter, § 1, eerste lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
Zij is ten aanzien van de bevoegde overheden bedoeld in artikel 26, § 1, 7°, a), d) en f), belast, met :
1° het toezicht op de toepassing van deze titel, zoals voorzien door artikel 26, 15° ;
2° de controle van de verwerking van de informatie en de persoonsgegevens bedoeld in de artikelen 44/1 tot 44/11/13 van de wet van 5 augustus 1992 op het politieambt, met inbegrip van deze ingevoegd in de gegevensbanken bedoeld in artikel 44/2 van dezelfde wet;
3° elke andere opdracht haar door of krachtens andere wetten verleend.
§ 2. De zetel van het Controleorgaan op de politionele informatie is gevestigd in het administratief arrondissement Brussel-Hoofdstad.
Bij de uitvoering van haar opdrachten en de uitoefening van haar bevoegdheden overeenkomstig deze wet en andere wetten treedt het Controleorgaan op de politionele informatie volledig onafhankelijk op.

TITEL 3. - De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door andere overheden dan die bedoeld in titels 1 en 2

ONDERTITEL 1. - De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door de inlichtingen- en veiligheidsdiensten

HOOFDSTUK I. - Definities

Art. 72.

§ 1. De definities bedoeld in de artikelen 26, 1° tot 6°, 9°, 11° tot 14°, 16° en 17°, zijn van toepassing op deze ondertitel.
§ 2. Voor de toepassing van deze ondertitel wordt verstaan onder :
1° "de inlichtingen- en veiligheidsdiensten" : de Veiligheid van de Staat en de Algemene Dienst Inlichting en Veiligheid bedoeld in de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten;
2° "de verwerkingsverantwoordelijke" : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
3° "de wet van 30 november 1998" : de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten;
4° "de wet van 18 juli 1991" : de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse;
5° "de wet van 11 december 1998" : de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
6° "toezichthoudende autoriteit" : een onafhankelijke overheidsinstantie die bij wet belast is met het toezicht op de toepassing van deze wet;
7° "het Vast Comité I" : het Vast Comité van Toezicht op de inlichtingen- en veiligheidsdiensten bedoeld in de wet van 18 juli 1991 belast met het toezicht op de toepassing van deze ondertitel in toepassing van artikel 95.

HOOFDSTUK II. - Toepassingsgebied

Art. 73. Deze ondertitel is van toepassing op elke verwerking van persoonsgegevens door de inlichtingen- en veiligheidsdiensten en hun verwerkers, uitgevoerd in het kader van de opdrachten van deze diensten als bedoeld in artikelen 7 en 11 van de wet van 30 november 1998 alsook door of krachtens bijzondere wetten.
De titels 1, 2, 4, 5 en 7 van deze wet zijn niet van toepassing op de verwerkingen bedoeld in het eerste lid. In titel 6 zijn enkel de artikelen 226, 227 en 230 zijn van toepassing.

HOOFDSTUK III. - Algemene verwerkingsvoorwaarden

Art. 74. Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen :
1° wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend;
2° wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen;
3° wanneer de verwerking nuttig is om een verplichting na te komen waaraan de inlichtingen- en veiligheidsdienst is onderworpen door of krachtens een wet;
4° wanneer de verwerking noodzakelijk is voor de vervulling van een opdracht van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verwerkingsverantwoordelijke of aan de overheidsinstantie aan wie de persoonsgegevens worden verstrekt.
Art. 75. Persoonsgegevens moeten :
1° worden eerlijk en rechtmatig verwerkt;
2° worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verkregen en niet verder verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de artikelen 99 tot 104 wordt een verdere verwerking van de gegevens voor historische, wetenschappelijke of statistische doeleinden niet als onverenigbaar beschouwd;
3° zijn toereikend, terzake dienend en niet overmatig, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;
4° zijn nauwkeurig en worden, zo nodig, bijgewerkt. Alle redelijke maatregelen worden getroffen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, te wissen of te verbeteren.


HOOFDSTUK IV. - Aard van de persoonsgegevens

Art. 76. De inlichtingen- en veiligheidsdiensten verwerken, voor het belang van de uitoefening van hun opdrachten, persoonsgegevens van alle aard, inbegrepen die waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook genetische en biometrische gegevens, gezondheidsgegevens, gegevens die het seksuele gedrag of de seksuele gerichtheid betreffen en deze met betrekking tot strafrechtelijke vervolgingen en tot inbreuken of veiligheidsmaatregelen die hiermee samenhangen.

HOOFDSTUK V. - Bewaring van persoonsgegevens

Art. 77. De persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor ze opgeslagen worden en volgens de nadere regels bepaald in het kader van artikel 21 van de wet van 30 november 1998.

HOOFDSTUK VI. - Rechten van de betrokkene

Art. 78. Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op de bescherming van zijn persoonsgegevens.
Art. 79. De betrokkene heeft het recht te vragen :
1° om zijn onjuiste persoonsgegevens te laten verbeteren of verwijderen;
2° om de verificatie bij het Vast Comité I van de naleving van de bepalingen van deze ondertitel.
Art. 80. De rechten bedoeld in artikel 79 worden kosteloos uitgeoefend via het Vast Comité I op initiatief van de betrokkene die zijn identiteit bewijst.
Het Vast Comité I voert de verificatie uit en deelt uitsluitend aan de betrokkene mee dat de nodige verificaties werden verricht.
De nadere regels voor de uitoefening van deze rechten worden bepaald in de wet.
Art. 81. Het Vast Comité I en de inlichtingen- en veiligheidsdiensten houden een logbestand bij van alle aanvragen van betrokkenen tot uitoefening van hun rechten.
Art. 82. Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn, mag niet louter worden genomen op grond van een geautomatiseerde persoonsgegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren.
Het in het eerste lid vastgestelde verbod geldt niet indien het besluit zijn grondslag vindt in een bepaling voorgeschreven door of krachtens een wet of wanneer het noodzakelijk is vanwege een zwaarwegend algemeen belang.

HOOFDSTUK VII. - Verplichtingen van de verwerkingsverantwoordelijke en de verwerker

Afdeling 1. - Algemene verplichtingen

Art. 83. De verwerkingsverantwoordelijke :
1° waakt er nauwlettend over dat de persoonsgegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met deze ondertitel, worden verbeterd of verwijderd;
2° zorgt ervoor dat voor de personen die onder zijn gezag handelen, de toegang tot de persoonsgegevens en de verwerkingsmogelijkheden, beperkt blijven tot wat nuttig is voor de uitoefening van hun opdrachten of voor de behoeften van de dienst;
3° informeert alle personen die onder zijn gezag handelen over de bepalingen van deze ondertitel en over alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer betreffende de verwerking van persoonsgegevens.
Art. 84. Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verwerkingsverantwoordelijke :
1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen;
2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen;
3° de verantwoordelijkheid van de verwerker vaststellen in de overeenkomst;
4° met de verwerker overeenkomen dat deze laatste slechts handelt in opdracht van de verwerkingsverantwoordelijke en dat hij is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke in toepassing van deze ondertitel is gehouden;
5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de persoonsgegevens en de eisen met betrekking tot de maatregelen bedoeld in de bepalingen onder 3° en 4°, vaststellen.
Art. 85. De verwerker is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke is gehouden.
De verwerker mag de verwerking van persoonsgegevens niet toevertrouwen aan een andere verwerker, behoudens uitdrukkelijke toestemming van de verwerkingsverantwoordelijke.
Art. 86. Eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker, alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verwerkingsverantwoordelijke verwerken, behoudens op grond van een verplichting door of krachtens een wet.
Afdeling 2. - Gezamenlijke verwerkingsverantwoordelijken
Art. 87. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
Een overeenkomst bepaalt de respectievelijke verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken, met name met betrekking tot de uitoefening van de rechten van de betrokkene en de mededeling van persoonsgegevens, tenzij hun respectievelijke verplichtingen worden bepaald door of krachtens een wet.
In de overeenkomst wordt één contactpunt voor de betrokkenen aangewezen. De gezamenlijke verwerkingsverantwoordelijken nemen dit contactpunt op in het register bedoeld in artikel 90.

Afdeling 3. - Beveiliging van persoonsgegevens

Art. 88. De verwerkingsverantwoordelijke, alsmede de verwerker, treffen de passende technische en organisatorische maatregelen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen verzekeren een passend beveiligingsniveau, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen persoonsgegevens en de potentiële risico's.
Art. 89. § 1. Indien een inbreuk op de beveiliging een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, meldt de verwerkingsverantwoordelijke deze inbreuk binnen de kortste termijn aan het Vast Comité I en indien mogelijk, 72 uur nadat hij er kennis van heeft genomen.
§ 2. De verwerker verwittigt de verwerkingsverantwoordelijke binnen de kortste termijn van elke inbreuk op de beveiliging.
§ 3. In de in paragrafen 1 en 2 bedoelde melding wordt, op zijn minst, het volgende omschreven of meegedeeld :
1° de aard van de inbreuk op de beveiliging en indien mogelijk, bij benadering, het aantal betrokkenen en de opgeslagen persoonsgegevens in kwestie;
2° de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt bij wie bijkomende informatie kan worden verkregen;
3° de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
4° de maatregelen die de verwerkingsverantwoordelijke, of de verwerker heeft genomen of voorgesteld om de inbreuk op de beveiliging aan te pakken, waaronder desgevallend maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Afdeling 4. - Registers

Art. 90. § 1. De verwerkingsverantwoordelijke houdt een register bij, geclassificeerd in de zin van de wet van 11 december 1998, van de gegevensbanken van de inlichtingen- en veiligheidsdiensten en deze die aan hem ter beschikking worden gesteld.
Dit register bevat de volgende gegevens :
1° voor de gegevensbanken van de inlichtingen- en veiligheidsdiensten :
a) de contactgegevens van de verwerkingsverantwoordelijke en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) de categorieën van ontvangers waaraan persoonsgegevens meegedeeld kunnen worden;
d) indien mogelijk, de beoogde termijnen voor het verwijderen van de persoonsgegevens;
e) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 88;
2° voor gegevensbanken die aan de inlichtingen- en veiligheidsdiensten ter beschikking gesteld worden :
a) de contactgegevens van de verwerkingsverantwoordelijke en, indien mogelijk voor de landen buiten de Europese Unie de dienst die de gegevensbank beheert en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden van de inlichtingen- en veiligheidsdiensten.
§ 2. Elke verwerker houdt een register bij, geclassificeerd in de zin van de wet van 11 december 1998, van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht.
Dit register bevat de volgende elementen :
1° de contactgegevens van de verwerker en van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, desgevallend, van de functionaris voor gegevensbescherming;
2° de categorieën van verwerkingen die voor rekening van de verwerkingsverantwoordelijke zijn uitgevoerd;
3° indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 88.
§ 3. De in de paragrafen 1 en 2 bedoelde registers worden in schriftelijke vorm, met inbegrip van elektronische vorm, opgesteld.
§ 4. De verwerkingsverantwoordelijke stelt het register ter beschikking van het Vast Comité I op diens vraag.
De verwerker stelt het register ter beschikking van de verwerkingsverantwoordelijke en stelt het eveneens ter beschikking van het Vast Comité I op diens vraag.

Afdeling 5. - Functionaris voor gegevensbescherming

Art. 91. § 1. De verwerkingsverantwoordelijke, en desgevallend de verwerker, wijzen een functionaris voor gegevensbescherming aan. Deze beslissing wordt meegedeeld aan het Vast Comité I.
De functionaris voor gegevensbescherming is titularis van een veiligheidsmachtiging "zeer geheim", in de zin van de wet van 11 december 1998.
§ 2. De functionaris voor gegevensbescherming kan niet gestraft worden voor het uitoefenen van zijn functie. Hij kan evenmin van zijn functie ontheven worden omwille van de uitvoering van zijn opdrachten, behalve indien hij een zware fout heeft begaan of de voorwaarden noodzakelijk voor het uitoefenen van zijn functie niet langer vervult.
De functionaris voor gegevensbescherming kan zich tot het Vast Comité I wenden om deze beslissing aan te vechten.
§ 3. Hij is, op een onafhankelijke wijze, belast met :
1° het toezien op de naleving van deze ondertitel bij elke verwerking van persoonsgegevens;
2° het adviseren over alle nuttige maatregelen teneinde de veiligheid van de opgeslagen gegevens te verzekeren;
3° het informeren en adviseren van de verwerkingsverantwoordelijke, en desgevallend de verwerker, het diensthoofd en de personeelsleden van de betrokken dienst die de verwerking verrichten over hun verplichtingen op grond van deze ondertitel;
4° het verstrekken van adviezen of aanbevelingen aan de verwerkingsverantwoordelijke, en desgevallend aan de verwerker of het diensthoofd;
5° het uitvoeren van andere opdrachten die hem door de verwerkingsverantwoordelijke, en in voorkomend geval de verwerker of het diensthoofd toevertrouwd zijn.
De functionaris voor gegevensbescherming is de contactpersoon voor het Vast Comité I met betrekking tot de toepassing van deze ondertitel.
§ 4. De verwerkingsverantwoordelijke en, desgevallend, de verwerker zien erop toe dat hun functionaris voor gegevensbescherming tijdig en naar behoren wordt betrokken bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden.
De verwerkingsverantwoordelijke, en desgevallend, de verwerker zien erop toe dat de functionaris voor gegevensbescherming de benodigde middelen ter beschikking heeft voor het vervullen van zijn opdrachten.
De functionaris voor gegevensbescherming kan worden bijgestaan door één of meerdere adjuncten.
§ 5. Desgevallend kunnen nadere regels voor de werking, de aanwijzing en de vereiste bevoegdheden door de Koning worden bepaald.

HOOFDSTUK VIII. - Mededeling en doorgifte van persoonsgegevens

Afdeling 1. - Mededeling van persoonsgegevens aan de publieke sector en de private sector

Art. 92. In afwijking van de artikelen 20, 22, 23, 58 en 59 van deze wet en van de artikelen 35 en 36 van de Verordening kan noch een protocol, noch een advies van de functionaris voor gegevensbescherming, noch een gegevensbeschermingseffectbeoordeling, noch het advies volgend op de raadpleging van de bevoegde toezichthoudende autoriteit vereist worden als voorafgaande voorwaarde voor de mededeling van persoonsgegevens tussen een inlichtingen- en veiligheidsdienst en enig openbaar of privé orgaan, in het belang van de uitvoering van de opdrachten van de inlichtingen- en veiligheidsdiensten.
Deze mededeling vindt plaats in overeenstemming met de artikelen 14, 16 en 19 van de wet van 30 november 1998.
Wanneer de partijen beslissen een protocol af te sluiten, bevat dit, in afwijking van artikel 20, § 1, tweede lid, het volgende :
1° de identificatie van de inlichtingen- en veiligheidsdienst en het openbaar of particulier orgaan die de persoonsgegevens uitwisselen;
2° de identificatie van de verwerkingsverant-woordelijken;
3° de contactgegevens van de betrokken functionarissen voor gegevensbescherming;
4° de doeleinden waarvoor de persoonsgegevens worden doorgegeven;
5° de wettelijke grondslag;
6° de beperkingen van de rechten van de betrokkene.
Het protocol bedoeld in het derde lid draagt de markering "BEPERKTE VERSPREIDING" in de zin van het koninklijk besluit van 24 maart 2000 tot uitvoering van de wet van 11 december 1998, voor zover een classificatie in de zin van de wet van 11 december 1998 niet gerechtvaardigd is.
Afdeling 2. - Doorgifte van persoonsgegevens aan landen die geen lid zijn van de Europese Unie of aan internationale organisaties
Art. 93. Persoonsgegevens mogen slechts worden doorgegeven aan een land dat geen lid is van de Europese Unie of een internationale organisatie, indien dat land of die organisatie een passend beschermingsniveau en de naleving van de andere bepalingen van deze ondertitel waarborgt.
De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die betrekking hebben op de doorgifte van persoonsgegevens of op een categorie van doorgiften van persoonsgegevens. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betrokken land of de organisatie gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen of organisaties worden nageleefd.
Het passende beschermingsniveau kan verzekerd worden door veiligheidsclausules tussen de verwerkingsverantwoordelijke en de ontvanger van de persoonsgegevens.
Art. 94. In afwijking van artikel 93 mag een doorgifte van persoonsgegevens aan een land dat geen lid is van de Europese Unie of aan een internationale organisatie, hetwelke geen waarborgen biedt voor een passend beschermingsniveau, slechts plaatsvinden wanneer :
1° de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven voor de beoogde doorgifte; of
2° de doorgifte verplicht is in het kader van de internationale betrekkingen; of
3° de doorgifte noodzakelijk is ter vrijwaring van het vitaal belang van de personen; of
4° de doorgifte noodzakelijk of wettelijk verplicht is ter vrijwaring van een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.

HOOFDSTUK IX. - Toezichthoudende autoriteit

Art. 95. In afwijking van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, is het Vast Comité I, in zijn hoedanigheid van onafhankelijke publieke autoriteit, aangewezen als gegevensbeschermingsautoriteit belast met de controle van de verwerking van persoonsgegevens door de inlichtingen- en veiligheidsdiensten en hun verwerkers volgens de nadere regels vastgelegd in de wet van 18 juli 1991.
Het Vast Comité I waakt over de toepassing van deze ondertitel ter bescherming van de fundamentele rechten en vrijheden van de natuurlijke personen met betrekking tot deze verwerking.
Art. 96. Het Vast Comité I werkt, indien nodig, samen met de andere Belgische toezichthoudende autoriteiten, zonder dat dit afbreuk doet aan de fysieke integriteit van personen, of aan de opdrachten van de inlichtingen- en veiligheidsdiensten en de wet van 11 december 1998.
In het kader van de uitoefening van het toezicht bedoeld in artikel 95, deelt het Vast Comité I in algemene termen het resultaat hiervan mee aan de andere bevoegde toezichthoudende autoriteiten. Deze maken deze resultaten niet aan de betrokkene over.
Art. 97. De inlichtingen- en veiligheidsdiensten en hun verwerkers werken samen met het Vast Comité I.
Art. 98. Een toezichthoudende autoriteit informeert het Vast Comité I over inbreuken op de reglementering inzake de verwerking van persoonsgegevens van de inlichtingen- en veiligheidsdiensten zodra zij er kennis van neemt.
Elke toezichthoudende autoriteit overlegt met het Vast Comité I wanneer zij gevat wordt in een dossier dat mogelijk gevolgen heeft voor de verwerking van persoonsgegevens door de inlichtingen- en veiligheidsdiensten.

HOOFDSTUK X. - Verwerking van persoonsgegevens voor historische, wetenschappelijke of statistische doeleinden

Art. 99. In afwijking van titel 4, wordt de raadpleging voor historische, wetenschappelijke of statistische doeleinden, door een verdere verwerkingsverantwoordelijke, van persoonsgegevens van de inlichtingen- en veiligheidsdiensten en van hun personeel toegestaan door de betrokken inlichtingen- en veiligheidsdienst indien dit geen afbreuk doet aan zijn opdrachten, aan zijn verplichtingen bedoeld in de artikelen 13, derde lid, en 13/4, tweede lid, van de wet van 30 november 1998, aan een lopend opsporings- of gerechtelijk onderzoek, of aan de betrekkingen die België met vreemde staten of internationale organisaties onderhoudt en overeenkomstig de wet van 11 december 1998.
Elke vraag aan de Rijksarchieven om verdere verwerking van persoonsgegevens van de inlichtingen- en veiligheidsdiensten en van hun personeel voor overige doelen dan die bedoeld in het eerste lid wordt geweigerd voor zover het doel legitiem is en de betrokken inlichtingen- en veiligheidsdienst meent dat de verwerking geen afbreuk kan doen aan de belangen bedoeld in het eerste lid.
Art. 100. Vóór hun raadpleging bedoeld in artikel 99 worden de persoonsgegevens voorzien van de vermelding "Bescherming van persoonsgegevens - artikelen 99 tot 104 van de wet van 30 juli 2018".
Art. 101. De persoonsgegevens bedoeld in artikel 99 worden voorafgaand aan hun raadpleging geanonimiseerd.
Indien een verdere verwerking van anonieme gegevens niet toelaat om de historische, wetenschappelijke of statistische doeleinden te verwezenlijken, kan de inlichtingen- en veiligheidsdienst de raadpleging van gepseudonimiseerde gegevens toestaan.
Indien de anonimisering of pseudonimisering de identificatie van de gegevens niet onmogelijk maakt, weigert de inlichtingen- en veiligheidsdienst de raadpleging indien dit een onevenredige afbreuk doet aan het privéleven.
Indien een verdere verwerking van gepseudonimiseerde gegevens niet toelaat om de historische, wetenschappelijke of statistische doeleinden te verwezenlijken, kan de inlichtingen- en veiligheidsdienst de raadpleging van niet-gepseudonimiseerde gegevens toestaan indien dit geen onevenredige afbreuk doet aan het privéleven.
Art. 102. In afwijking van titel 4, is een mededeling of publicatie van niet-geanonimiseerde of niet-gepseudonimiseerde persoonsgegevens bedoeld in artikel 99, geraadpleegd door de verdere verwerkingsverantwoordelijke, enkel mogelijk met het akkoord van de betrokken inlichtingen- en veiligheidsdienst en onder de voorwaarden die hij vastlegt.
Art. 103. De verdere verwerkingsverantwoordelijke van persoonsgegevens bedoeld in artikel 99 houdt een logbestand van zijn verdere verwerkingsactiviteiten voor historische, wetenschappelijke of statistische doeleinden bij.
Dit logbestand is geclassificeerd in de zin van de wet van 11 december 1998 indien de verwerking betrekking heeft op geclassificeerde gegevens.
Dit logbestand bevat de volgende informatie :
1° de contactgegevens van de eerste verwerkingsverantwoordelijke, de verdere verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming van deze laatste;
2° de doeleinden van de verdere verwerking;
3° de gegevens die het voorwerp uitmaken van de verdere verwerking;
4° de eventuele voorwaarden voor de verdere verwerking vastgelegd door de betrokken inlichtingen- en veiligheidsdienst;
5° de eventuele ontvangers toegestaan door de betrokken inlichtingen- en veiligheidsdienst.
Art. 104. Elke overheidsinstantie of elke natuurlijke of rechtspersoon die persoonsgegevens bedoeld in artikel 99 verwerkt om historische, wetenschappelijke of statistische doeleinden is de verantwoordelijke van deze verwerking.
Zij of hij mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme of gepseudonimiseerde gegevens in niet-anonieme of niet-gepseudonimiseerde gegevens.

ONDERTITEL 2. - De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door de krijgsmacht

Art. 105. Bij de aanwending van de krijgsmacht, en de paraatstelling met het oog op de aanwending van de krijgsmacht, zoals bedoeld in artikel 3 van de wet van 20 mei 1994 betreffende de perioden en de standen van de militairen van het reservekader alsook betreffende de aanwending en paraatstelling van de krijgsmacht met het oog op de vervulling van de haar opgedragen grondwettelijke taken, is het volgende regime van toepassing :
1° de krijgsmacht verwerkt, voor zover noodzakelijk voor de uitoefening van hun opdrachten, persoonsgegevens van alle aard, inbegrepen die waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de genetische en biometrische gegevens, de gegevens over de gezondheid, de gegevens die het seksuele gedrag of de seksuele gerichtheid betreffen en deze met betrekking tot strafrechtelijke vervolgingen en tot inbreuken of veiligheidsmaatregelen die hiermee samenhangen;
2° de persoonsgegevens mogen slechts verwerkt worden wanneer de verwerking nuttig is voor de aanwending of de paraatstelling met het oog op de aanwending van de krijgsmacht en worden niet op een met die doeleinden onverenigbare wijze verwerkt;
3° de persoonsgegevens worden rechtmatig en eerlijk verwerkt;
4° de persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt;
5° de persoonsgegevens zijn toereikend, terzake dienend en niet overmatig, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;
6° de persoonsgegevens zijn nauwkeurig en worden, zo nodig, bijgewerkt. Alle redelijke maatregelen dienen te worden getroffen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, te wissen of te verbeteren;
7° de persoonsgegevens mogen doorgegeven worden aan een land dat geen lid is van de Europese Unie of aan een internationale organisatie indien die doorgifte noodzakelijk is voor operationele redenen;
8° met uitzondering van de definities vervat in artikel 26, 1° tot 6°, 8° tot 14°, 16° en 17°, en van de artikelen 2, 78 en 83 tot 89 zijn de bepalingen van de andere titels niet van toepassing;
9° met betrekking tot de verwerking van persoonsgegevens worden de volgende rechten slechts beperkt indien dit een noodzakelijke en evenredige maatregel vormt binnen de beperkingen van het toepasselijk internationaal recht voor de aanwending van de krijgsmacht of paraatstelling met het oog op aanwending van de krijgsmacht :
a) het recht kennis te nemen van het bestaan van een geautomatiseerd bestand van persoonsgegevens, de voornaamste doeleinden hiervan, alsmede de identiteit en de gewone verblijfplaats of de hoofdvestiging van de houder van het bestand;
b) het recht om, indien nodig, die gegevens te doen verbeteren of uitwissen, indien deze zijn verwerkt in strijd met de wet;
c) het recht over een rechtsmiddel te beschikken, indien geen gevolg wordt gegeven aan een verzoek om bevestiging of, desgevallend, mededeling, verbetering of uitwisseling van persoonsgegevens.
10° in de mate dat de aanwending en de paraatstelling van de krijgsmacht niet in het gedrang worden gebracht, zijn de verwerkingen van persoonsgegevens onderworpen aan het toezicht van de bevoegde toezichthoudende autoriteit.

ONDERTITEL 3. - De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in het kader van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen

HOOFDSTUK I. - Definities

Art. 106.

§ 1. De definities bedoeld in artikel 26, 1° tot 6°, 9° tot 14° en 16° tot 17°, zijn van toepassing op deze ondertitel.
§ 2. Voor de toepassing van deze ondertitel wordt verstaan onder :
1° "de wet van 11 december 1998" : de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
2° "de wet van 11 december 1998 tot oprichting van een beroepsorgaan" : de wet van 11 december 1998 tot oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
3° "beroepsorgaan" : het beroepsorgaan bedoeld in artikel 3 van de wet van 11 december 1998 tot oprichting van een beroepsorgaan;
4° "de verwerkingsverantwoordelijke" : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
5° "toezichthoudende autoriteit" : de onafhankelijke overheidsinstantie die bij de wet belast is met het toezicht op de toepassing van deze ondertitel;
6° "het Vast Comité I" : het Vast Comité van Toezicht op de inlichtingen- en veiligheidsdiensten bedoeld in de wet van 18 juli 1991 verantwoordelijk voor het toezicht op de toepassing van deze ondertitel overeenkomstig artikel 95.

HOOFDSTUK II. - Toepassingsgebied
Art. 107. Deze ondertitel is van toepassing op elke verwerking van persoonsgegevens in het kader van veiligheidsmachtigingen, attesten en adviezen bedoeld in de wet van 11 december 1998 door :
1° de veiligheidsoverheid bedoeld in artikel 15, eerste lid, van de wet van 11 december 1998;
2° elk overheidslid van de overheid bedoeld in de bepaling onder 1° ;
3° de overheden bedoeld in artikelen 15, tweede lid en 22ter van de wet van 11 december 1998;
4° de veiligheidsofficieren bedoeld in artikel 13, 1°, van de wet van 11 december 1998;
5° de verwerkers van overheden en personen bedoeld in de bepalingen onder 1° tot 4°.
Deze ondertitel is ook van toepassing op elke verwerking van persoonsgegevens door het beroepsorgaan in het kader van de beroepsprocedures bedoeld in de wet van 11 december 1998 tot oprichting van het beroepsorgaan.
De titels 1, 2, 4, 5 en 7 van deze wet zijn niet van toepassing op de verwerkingen bedoeld in het eerste lid. In titel 6 zijn enkel de artikelen 226, 227 en 230 van toepassing.

HOOFDSTUK III. - Algemene verwerkingsvoorwaarden
Art. 108. Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen :
1° wanneer de betrokkene daarvoor ondubbelzinnig zijn toestemming verleend heeft;
2° wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen;
3° wanneer de verwerking noodzakelijk is om een verplichting na te komen waaraan de verwerkingsverantwoordelijke is onderworpen door of krachtens een wet;
4° wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verwerkingsverantwoordelijke of aan de derde aan wie de persoonsgegevens worden verstrekt.
Art. 109. Persoonsgegevens :
1° worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig en behoorlijk is;
2° worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verkregen en niet verder worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de artikelen 132 tot 137 wordt een verdere verwerking van de gegevens voor historische, wetenschappelijke of statistische doeleinden niet als onverenigbaar beschouwd;
3° zijn toereikend, ter zake dienend en niet overmatig, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;
4° zijn nauwkeurig en worden, zo nodig, bijgewerkt. Alle redelijke maatregelen dienen te worden getroffen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, te wissen of te verbeteren.
HOOFDSTUK IV. - Aard van de persoonsgegevens
Art. 110. De overheden, de organen en de personen bedoeld in artikel 107 verwerken, in het belang van de uitoefening van hun opdrachten, persoonsgegevens van alle aard, inbegrepen die waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook genetische en biometrische gegevens, gezondheidsgegevens, gegevens die het seksuele gedrag of de seksuele gerichtheid betreffen en deze met betrekking tot strafrechtelijke vervolgingen en tot inbreuken of veiligheidsmaatregelen die hiermee samenhangen.
HOOFDSTUK V. - Bewaring van persoonsgegevens
Art. 111. De persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor ze opgeslagen worden en volgens de nadere regels bepaald in artikel 25 van de wet van 11 december 1998.
HOOFDSTUK VI. - Rechten van de betrokkene
Art. 112. Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op de bescherming van zijn persoonsgegevens.
Art. 113. De betrokkene heeft het recht te vragen :
1° om zijn onjuiste persoonsgegevens te laten verbeteren of verwijderen;
2° om de verificatie bij de bevoegde toezichthoudende autoriteit van de naleving van de bepalingen van deze ondertitel.
Art. 114. § 1. Om de vertrouwelijkheid en de doeltreffendheid van de uitvoering van de verwerking te waarborgen, is de toegang van de betrokkene tot zijn persoonsgegevens die worden verwerkt door de overheden, organen en personen bedoeld in artikel 107, eerste lid, beperkt tot de informatie die de betrokkene hen aanlevert.
De rechten bedoeld in artikel 113, 1° en 2°, ten aanzien van de verwerkingen bedoeld in artikel 107, eerste lid, worden kosteloos uitgeoefend door het Vast Comité I op initiatief van de betrokkene, die zijn identiteit bewijst. Het Comité I voert de verificaties uit en deelt uitsluitend aan de betrokkene mee dat de nodige verificaties werden verricht.
§ 2. De toegang van de betrokkene tot zijn persoonsgegevens verwerkt door het beroepsorgaan verloopt overeenkomstig het artikel 6 van de wet van 11 december 1998 tot oprichting van een beroepsorgaan.
Voor de uitoefening van zijn rechten bedoeld in artikel 113, 1°, en ten aanzien van de verwerkingen bedoeld in artikel 107, tweede lid, richt de betrokkene zich tot het beroepsorgaan overeenkomstig de nadere regels bepaald door of krachtens de wet van 11 december 1998 tot oprichting van een beroepsorgaan.
Art. 115. Een besluit waaraan voor een persoon negatieve rechtsgevolgen verbonden zijn, mag niet louter worden genomen op grond van een geautomatiseerde persoonsgegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren.
Het in het eerste lid vastgestelde verbod geldt niet indien het besluit zijn grondslag vindt in een bepaling voorgeschreven door of krachtens een wet of wanneer het noodzakelijk is vanwege een zwaarwegend algemeen belang.
HOOFDSTUK VII. - Verplichtingen van de verwerkingsverantwoordelijke en de verwerker
Afdeling 1. - Algemene verplichtingen
Art. 116. De verwerkingsverantwoordelijke :
1° waakt er nauwlettend over dat de persoonsgegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet ter zake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met deze ondertitel, worden verbeterd of verwijderd;
2° zorgt ervoor dat voor de personen die onder zijn gezag handelen, de toegang tot de persoonsgegevens en de verwerkingsmogelijkheden, beperkt blijven tot wat nuttig is voor de uitoefening van hun taken of voor de behoeften van de dienst;
3° informeert alle personen die onder zijn gezag handelen, over de bepalingen van deze ondertitel en over alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer betreffende de verwerking van persoonsgegevens.
Art. 117. Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verwerkingsverantwoordelijke :
1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen;
2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen;
3° de verantwoordelijkheid van de verwerker vaststellen in de overeenkomst;
4° met de verwerker overeenkomen dat deze laatste slechts handelt in opdracht van de verwerkingsverantwoordelijke en dat de verwerker is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke in toepassing van deze ondertitel is gehouden.
Art. 118. De verwerker is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke is gehouden.
Hij mag de verwerking van persoonsgegevens niet toevertrouwen aan een andere verwerker, behoudens uitdrukkelijke toestemming van de verwerkingsverantwoordelijke.
Art. 119. Eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verwerkingsverantwoordelijke verwerken, behoudens op grond van een verplichting door of krachtens een wet.
Afdeling 2. - Gezamenlijke verwerkingsverantwoordelijken
Art. 120. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
Een overeenkomst bepaalt de respectievelijke verplichtingen van de gezamenlijke verwerkingsverantwoordelijken, met name met betrekking tot de uitoefening van de rechten van de betrokkene en de mededeling van persoonsgegevens, tenzij hun respectievelijke verplichtingen worden bepaald door of krachtens een wet.
In de overeenkomst wordt één contactpunt voor betrokkenen aangewezen. De gezamenlijke verwerkingsverantwoordelijken nemen dit contactpunt op in het register bedoeld in artikel 123.
Afdeling 3. - Beveiliging van persoonsgegevens
Art. 121. Om de veiligheid van de persoonsgegevens te waarborgen, treffen de verwerkingsverantwoordelijke, alsmede de verwerker, de passende technische en organisatorische maatregelen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen verzekeren een passend beveiligingsniveau, rekening houdend, enerzijds, met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen persoonsgegevens en de potentiële risico's.
Art. 122. § 1. Indien een inbreuk op de beveiliging een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, meldt de verwerkingsverantwoordelijke deze inbreuk binnen de kortste termijn aan het Vast Comité I, en indien mogelijk dit ten laatste 72 uur na er kennis van te hebben genomen.
§ 2. De verwerker verwittigt de verwerkingsverantwoordelijke binnen de kortste termijn van elke inbreuk op de beveiliging.
§ 3. In de in paragraaf 1 en 2 bedoelde melding wordt, op zijn minst, het volgende omschreven of meegedeeld :
1° de aard van de inbreuk op de beveiliging en indien mogelijk, bij benadering, het aantal betrokkenen en de opgeslagen persoonsgegevens in kwestie;
2° de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt bij wie bijkomende informatie kan worden verkregen;
3° de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
4° de maatregelen die de verwerkingsverantwoordelijke, of de verwerker heeft genomen of voorgesteld om de inbreuk op de beveiliging aan te pakken, waaronder desgevallend maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Afdeling 4. - Registers
Art. 123. § 1. De verwerkingsverantwoordelijke en, desgevallend, zijn verwerker, houden een register bij van de verwerkingsactiviteiten van persoonsgegevens.
Dit register bevat, desgevallend en indien mogelijk, de volgende gegevens voor wat betreft de verwerkingen :
1° de contactgegevens van de verwerkingsverantwoordelijke en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
2° de verwerkingsdoeleinden;
3° de categorieën van betrokkenen;
4° de categorieën van persoonsgegevens;
5° de categorieën van voornaamste ontvangers waaraan persoonsgegevens meegedeeld kunnen worden;
6° de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, desgevallend, de documenten die getuigen van het bestaan van passende waarborgen;
7° de beoogde termijnen voor het verwijderen van de persoonsgegevens;
8° het gebruik van profilering;
9° de rechtsgrondslag;
10° een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 121.
§ 2. De in paragraaf 1 bedoelde registers worden in schriftelijke vorm, met inbegrip van elektronische vorm, opgesteld.
§ 3. De verwerkingsverantwoordelijke stelt het register ter beschikking van de bevoegde toezichthoudende autoriteit op diens vraag.
De verwerker stelt het register ter beschikking van de verwerkingsverantwoordelijke en stelt het eveneens ter beschikking van de bevoegde toezichthoudende autoriteit op diens vraag.
Afdeling 5. - Functionaris voor gegevensbescherming
Art. 124. § 1. De verwerkingsverantwoordelijke en, desgevallend, de verwerker, wijzen een functionaris voor gegevensbescherming aan. Deze beslissing wordt meegedeeld aan de bevoegde toezichthoudende autoriteit.
De functionaris voor gegevensbescherming is titularis van een veiligheidsmachtiging "zeer geheim", in de zin van de wet van 11 december 1998.
§ 2. De functionaris voor gegevensbescherming kan niet gestraft worden voor het uitoefenen van zijn functie. Hij kan evenmin van zijn functie ontheven worden omwille van de uitvoering van zijn opdrachten, behalve indien hij een zware fout heeft begaan of de voorwaarden noodzakelijk voor het uitoefenen van zijn functie niet langer vervult.
De functionaris voor gegevensbescherming kan zich tot het Vast Comité I wenden om deze beslissing aan te vechten.
§ 3. Hij is, op een onafhankelijke wijze, belast met :
1° het toezien op de naleving van deze ondertitel bij elke verwerking van persoonsgegevens;
2° het adviseren over alle nuttige maatregelen met het oog op het verzekeren van de beveiliging van de opgeslagen persoonsgegevens;
3° het informeren en adviseren van de verwerkingsverantwoordelijke, en desgevallend de verwerker, en hun personeelsleden die de verwerking verrichten over hun verplichtingen op grond van de huidige ondertitel;
4° het verstrekken van adviezen of aanbevelingen aan de verwerkingsverantwoordelijke, en desgevallend, aan de verwerker;
5° het uitvoeren van andere opdrachten die hem door de verwerkingsverantwoordelijke, en desgevallend de verwerker, toevertrouwd worden.
De functionaris voor gegevensbescherming is de contactpersoon met de bevoegde toezichthoudende autoriteit met betrekking tot de toepassing van deze ondertitel.
§ 4. De verwerkingsverantwoordelijke en, desgevallend, de verwerker, zien erop toe dat hun functionaris voor gegevensbescherming tijdig en naar behoren wordt betrokken bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden.
De verwerkingsverantwoordelijke en, desgevallend de verwerker, zien erop toe dat de functionaris voor gegevensbescherming de benodigde middelen ter beschikking heeft voor het vervullen van zijn opdrachten.
De functionaris voor gegevensbescherming kan worden bijgestaan door één of meerdere medewerkers.
§ 5. Desgevallend kunnen nadere regels voor de werking, de aanwijzing en de vereiste bevoegdheden door de Koning worden bepaald.
HOOFDSTUK VIII. - Mededeling en doorgifte van persoonsgegevens
Afdeling 1. - Mededeling van persoonsgegevens aan de publieke sector en de private sector
Art. 125. § 1. In afwijking van de artikelen 20, 22, 23, 58 en 59 van deze wet en van de artikelen 35 en 36 van de Verordening kan noch een protocol, noch een advies van de functionaris voor gegevensbescherming, noch een gegevensbeschermingseffectbeoordeling, noch het advies volgend op de raadpleging van de bevoegde toezichthoudende autoriteit vereist worden als voorafgaande voorwaarde voor de mededeling van persoonsgegevens tussen de overheden, of personen bedoeld in artikel 107 en enig openbaar of privé orgaan.
Deze mededeling vindt plaats in overeenstemming met de wet van 11 december 1998.
§ 2. Wanneer de partijen beslissen een protocol af te sluiten, bevat dit, in afwijking van artikel 20, § 1, tweede lid, het volgende :
1° de identificatie van de federale overheidsinstantie of het federaal openbaar orgaan die de persoonsgegevens doorgeeft;
2° de identificatie van de verwerkingsverantwoordelijken;
3° de contactgegevens van de betrokken functionarissen voor gegevensbescherming;
4° de doeleinden waarvoor de persoonsgegevens worden doorgegeven;
5° de wettelijke grondslag;
6° de nadere regels inzake gehanteerde communicatie;
7° de beperkingen van de rechten van de betrokkene;
8° de periodiciteit van de doorgifte;
9° de duur van het protocol.
Afdeling 2. - Doorgifte van persoonsgegevens aan landen die geen lid zijn van de Europese Unie of aan internationale organisaties
Art. 126. Persoonsgegevens mogen slechts worden doorgegeven aan een land dat geen lid is van de Europese Unie of een internationale organisatie, indien dat land of die organisatie een passend beschermingsniveau en de naleving van de andere bepalingen van deze ondertitel waarborgt.
De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die betrekking hebben op de doorgifte van persoonsgegevens of op een categorie van doorgifte van persoonsgegevens. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betrokken land of de organisatie gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen of organisaties worden nageleefd.
Het passende beschermingsniveau kan verzekerd worden door veiligheidsclausules tussen de verwerkingsverantwoordelijke en de ontvanger van de persoonsgegevens.
Art. 127. In afwijking van artikel 126 mag een doorgifte van persoonsgegevens aan een land dat geen lid is van de Europese Unie of aan een internationale organisatie, dewelke geen waarborgen biedt voor een passend beschermingsniveau, slechts plaatsvinden wanneer :
1° de betrokkene zijn ondubbelzinnige toestemming heeft gegeven voor de beoogde doorgifte; of
2° de doorgifte verplicht is in het kader van de internationale betrekkingen; of
3° de doorgifte noodzakelijk is ter vrijwaring van het vitaal belang van de personen; of
4° de doorgifte noodzakelijk of wettelijk verplicht is voor de vrijwaring van een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.
HOOFDSTUK IX. - Toezichthoudende autoriteit
Art. 128. § 1. In afwijking van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, is het Vast Comité I, in zijn hoedanigheid van onafhankelijke publieke autoriteit, aangewezen als toezichthoudende autoriteit belast met de het toezicht op de verwerking van persoonsgegevens uitgevoerd in het kader van artikel 107, eerste lid, door de overheden en personen bedoeld in hetzelfde lid.
Het Vast Comité I waakt over de toepassing van deze ondertitel ter bescherming van de fundamentele rechten en vrijheden van de natuurlijke personen met betrekking tot deze verwerking.
§ 2. In zijn hoedanigheid van rechterlijke overheid is het beroepsorgaan niet onderworpen aan de controle door een toezichthoudende autoriteit voor de bescherming van persoonsgegevens.
Art. 129. Het Vast Comité I werkt, met inachtneming van de wet van 11 december 1998, indien nodig, samen met de andere Belgische toezichthoudende autoriteiten, zonder dat dit afbreuk doet aan de belangen bedoeld in artikel 5 van de wet van 11 december 1998 tot oprichting van een beroepsorgaan.
In het kader van de uitoefening van het toezicht bedoeld in artikel 128, deelt het Vast Comité I in algemene termen het resultaat hiervan mee aan de andere bevoegde toezichthoudende autoriteiten.
Art. 130. De overheden en personen bedoeld in artikel 107, eerste lid, werken samen met het Vast Comité I.
Art. 131. Een toezichthoudende autoriteit informeert het Vast Comité I over inbreuken op de reglementering inzake de verwerking van persoonsgegevens in het kader van artikel 107 zodra zij er kennis van neemt.
Elke toezichthoudende autoriteit overlegt met het Vast Comité I wanneer zij gevat wordt in een dossier dat mogelijk gevolgen heeft voor de verwerking van persoonsgegevens in het kader van artikel 107.
HOOFDSTUK X. - Verwerking van persoonsgegevens voor historische, wetenschappelijke of statistische doeleinden
Art. 132. In afwijking van titel 4, is de raadpleging voor historische, wetenschappelijke of statistische doeleinden van persoonsgegevens van de overheden, het beroepsorgaan of de personen bedoeld in artikel 107 en hun personeel door een verdere verwerkingsverantwoordelijke toegestaan indien dit geen afbreuk doet aan de belangen bedoeld in artikel 12, eerste lid, van de wet van 11 december 1998.
Art. 133. Vóór de raadpleging bedoeld in artikel 132 worden de persoonsgegevens voorzien van de vermelding "Bescherming van persoonsgegevens - artikelen 132 tot 137 van de wet van 30 juli 2018".
Art. 134. De persoonsgegevens bedoeld in artikel 132 worden voorafgaand aan hun raadpleging geanonimiseerd.
Indien een verdere verwerking van anonieme gegevens niet toelaat om de historische, wetenschappelijke of statistische doeleinden te verwezenlijken, kan de verwerkingsverantwoordelijke in het kader van artikel 107 de raadpleging van gepseudonimiseerde gegevens toestaan.
Indien de anonimisering of pseudonimisering de identificatie van de gegevens niet onmogelijk maakt, weigert de verwerkingsverantwoordelijke in het kader van artikel 107 de raadpleging indien dit een onevenredige afbreuk doet aan het privéleven.
Indien een verdere verwerking van gepseudonimiseerde gegevens niet toelaat om de historische, wetenschappelijke of statistische doeleinden te verwezenlijken, kan de verwerkingsverantwoordelijke in het kader van artikel 107 de raadpleging van niet-gepseudonimiseerde gegevens toestaan indien dit geen onevenredige afbreuk doet aan het privéleven.
Art. 135. In afwijking van titel 4, is een mededeling of publicatie van niet-geanonimiseerde of niet-gepseudonimiseerde persoonsgegevens bedoeld in artikel 132, die werden geraadpleegd door de verdere verwerkingsverantwoordelijke, is enkel mogelijk met het akkoord van de verwerkingsverantwoordelijke in het kader van artikel 107 en onder de voorwaarden die hij vastlegt.
Art. 136. De verdere verwerkingsverantwoordelijke van persoonsgegevens bedoeld in artikel 132 houdt een logbestand van zijn verdere verwerkingsactiviteiten voor historische, wetenschappelijke of statistische doeleinden bij.
Dit logbestand is geclassificeerd in de zin van de wet van 11 december 1998 indien de verwerking betrekking heeft op geclassificeerde gegevens.
Dit logbestand bevat de volgende informatie :
1° de contactgegevens van de eerste verwerkingsverantwoordelijke, de verdere verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming van deze laatste;
2° de doeleinden van de verdere verwerking;
3° de eventuele voorwaarden voor de verdere verwerking vastgelegd door de verwerkingsverantwoordelijke in het kader van artikel 107;
4° de eventuele ontvangers toegestaan door de verwerkingsverantwoordelijke in het kader van artikel 107.
Art. 137. Elke overheidsinstantie of elke natuurlijke of rechtspersoon die persoonsgegevens bedoeld in artikel 132 verwerkt om historische, wetenschappelijke of statistische doeleinden is de verantwoordelijke van deze verwerking.
Zij of hij mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme of gepseudonimiseerde gegevens in niet-anonieme of niet-gepseudonimiseerde gegevens.
ONDERTITEL 4. - De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door het coördinatieorgaan voor de dreigingsanalyse
HOOFDSTUK I. - Definities
Art. 138. § 1. De definities bedoeld in de artikelen 26, 1° tot 6°, 9°, 11° tot 14° en 16° tot 17°, zijn van toepassing op deze ondertitel.
§ 2. Voor de toepassing van deze ondertitel wordt verstaan onder :
1° "het OCAD" : het Coördinatieorgaan voor de dreigingsanalyse bedoeld in de wet van 10 juli 2006 betreffende de analyse van de dreiging;
2° "de verwerkingsverantwoordelijke" : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
3° "de wet van 18 juli 1991" : de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse;
4° "de wet van 11 december 1998" : de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
5° "toezichthoudende autoriteit" : een onafhankelijke overheidsinstantie die bij de wet belast is met het toezicht op de toepassing van deze wet;
6° "de wet van 10 juli 2006" : de wet van 10 juli 2006 betreffende de analyse van de dreiging;
7° "het informatiesysteem van het OCAD" : het informatiesysteem bedoeld in artikel 9 van de wet van 10 juli 2006.
HOOFDSTUK II. - Toepassingsgebied
Art. 139. Deze ondertitel is van toepassing op elke verwerking van persoonsgegevens door het OCAD en zijn verwerkers, uitgevoerd in het kader van de opdrachten als bedoeld in de wet van 10 juli 2006, en door of krachtens bijzondere wetten.
De titels 1, 2, 4, 5 en 7 van deze wet zijn niet van toepassing op de verwerkingen bedoeld in het eerste lid. In titel 6 zijn enkel de artikelen 226, 227 en 230 van toepassing.
HOOFDSTUK III. - Algemene verwerkingsvoorwaarden
Art. 140. Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen :
1° wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend;
2° wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen;
3° wanneer de verwerking nuttig is om een verplichting na te komen waaraan het OCAD is onderworpen door of krachtens een wet;
4° wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verwerkingsverantwoordelijke of aan de overheidsinstantie aan wie de persoonsgegevens worden verstrekt.
Art. 141. Persoonsgegevens :
1° worden eerlijk en rechtmatig verwerkt;
2° worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verkregen en niet verder verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de artikelen 162 tot 167 wordt een verdere verwerking van de gegevens voor historische, wetenschappelijke of statistische doeleinden niet als onverenigbaar beschouwd;
3° zijn toereikend, terzake dienend en niet overmatig, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;
4° zijn nauwkeurig en worden, zo nodig, bijgewerkt. Alle redelijke maatregelen worden getroffen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren.
HOOFDSTUK IV. - Aard van de persoonsgegevens
Art. 142. Het OCAD verwerkt, voor zover noodzakelijk voor het belang van de uitoefening van zijn opdrachten, persoonsgegevens van alle aard, inbegrepen die waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook genetische en biometrische gegevens, gezondheidsgegevens, gegevens die het seksuele gedrag of de seksuele gerichtheid betreffen en deze met betrekking tot strafrechtelijke vervolgingen en tot inbreuken of veiligheidsmaatregelen die hiermee samenhangen.
HOOFDSTUK V. - Bewaring van persoonsgegevens
Art. 143. De persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor ze opgeslagen worden en volgens de nadere regels bepaald in artikel 9 van de wet van 10 juli 2006 voor wat het informatiesysteem van het OCAD betreft en artikel 44/11/3bis van de wet van 5 augustus 1992 op het politieambt voor wat betreft de gemeenschappelijke gegevensbanken waarvan het OCAD de operationele beheerder is.
HOOFDSTUK VI. - Rechten van de betrokkene
Art. 144. Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op de bescherming van zijn persoonsgegevens.
Art. 145. De betrokkene heeft het recht te vragen :
1° om zijn onjuiste persoonsgegevens te laten verbeteren of verwijderen;
2° om de verificatie bij de bevoegde toezichthoudende autoriteit van de naleving van de bepalingen van deze ondertitel.
Art. 146. De rechten, bedoeld in artikel 145 worden kosteloos uitgeoefend door de bevoegde toezichthoudende autoriteit op initiatief van de betrokkene die zijn identiteit bewijst.
De bevoegde toezichthoudende autoriteit voert de verificatie uit en deelt uitsluitend aan de betrokkene mee dat de nodige verificaties werden verricht.
De nadere regels voor de uitoefening van deze rechten worden bepaald in de wet.
Art. 147. De toezichthoudende autoriteiten bedoeld in artikel 161 en het OCAD houden een logbestand bij van alle aanvragen van betrokkenen tot uitoefening van hun rechten.
Art. 148. Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn, mag niet louter worden genomen op grond van een geautomatiseerde persoonsgegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren.
Het in het eerste lid vastgestelde verbod geldt niet indien het besluit zijn grondslag vindt in een bepaling voorgeschreven door of krachtens een wet of wanneer het besluit noodzakelijk is vanwege een zwaarwegend algemeen belang.
HOOFDSTUK VII. - Verplichtingen van de verwerkingsverantwoordelijke en de verwerker
Afdeling 1. - Algemene verplichtingen
Art. 149. De verwerkingsverantwoordelijke :
1° waakt er nauwlettend over dat de persoonsgegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met deze ondertitel, worden verbeterd of verwijderd;
2° zorgt ervoor dat voor de personen die onder zijn gezag handelen, de toegang tot de persoonsgegevens en de verwerkingsmogelijkheden, beperkt blijven tot wat nuttig is voor de uitoefening van hun opdrachten of voor de behoeften van het OCAD;
3° informeert alle personen die onder zijn gezag handelen over de bepalingen van deze ondertitel en over alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer betreffende de verwerking van persoonsgegevens.
Art. 150. Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verwerkingsverantwoordelijke :
1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen;
2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen;
3° de verantwoordelijkheid van de verwerker vaststellen in de overeenkomst;
4° met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verwerkingsverantwoordelijke en dat de verwerker is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke in toepassing van deze ondertitel is gehouden;
5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de persoonsgegevens en de eisen met betrekking tot de maatregelen bedoeld in de bepalingen onder 3° en 4°, vaststellen.
Art. 151. De verwerker is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke is gehouden.
Hij mag de verwerking van persoonsgegevens niet toevertrouwen aan een andere verwerker, behoudens uitdrukkelijke toestemming van de verwerkingsverantwoordelijke.
Art. 152. Eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker, alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verwerkingsverantwoordelijke verwerken, behoudens op grond van een verplichting door of krachtens een wet.
Afdeling 2. - Gezamenlijke verwerkingsverantwoordelijken
Art. 153. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
Een overeenkomst bepaalt de respectievelijke verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken, met name met betrekking tot de uitoefening van de rechten van de betrokkene en de mededeling van persoonsgegevens, tenzij hun respectievelijke verplichtingen worden bepaald door of krachtens een wet.
In de onderlinge overeenkomst wordt één contactpunt voor betrokkenen aangewezen. De gezamenlijke verwerkingsverantwoordelijken nemen dit contactpunt op in het register bedoeld in artikel 156.
Afdeling 3. - Beveiliging van persoonsgegevens
Art. 154. De verwerkingsverantwoordelijke, alsmede de verwerker, treffen de passende technische en organisatorische maatregelen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen verzekeren een passend beveiligingsniveau, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen persoonsgegevens en de potentiële risico's.
Art. 155. § 1. Indien een inbreuk op de beveiliging een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, meldt de verwerkingsverantwoordelijke deze inbreuk binnen de kortste termijn aan de bevoegde toezichthoudende autoriteit en indien mogelijk, 72 uur nadat hij er kennis van heeft genomen.
§ 2. De verwerker verwittigt de verwerkingsverantwoordelijke binnen de kortste termijn van elke inbreuk op de beveiliging.
§ 3. In de in paragrafen 1 en 2 bedoelde melding wordt, op zijn minst, het volgende omschreven of meegedeeld :
1° de aard van de inbreuk op de beveiliging en indien mogelijk, bij benadering, het aantal betrokkenen en de opgeslagen persoonsgegevens in kwestie;
2° de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt bij wie bijkomende informatie kan worden verkregen;
3° de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
4° de maatregelen die de verwerkingsverantwoordelijke, of de verwerker heeft genomen of voorgesteld om de inbreuk op de beveiliging aan te pakken, waaronder desgevallend maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Afdeling 4. - Registers
Art. 156. § 1. De verwerkingsverantwoordelijke houdt een register bij, geclassificeerd in de zin van de wet van 11 december 1998, van de gegevensbanken van het OCAD en deze die aan hem ter beschikking worden gesteld.
Dit register bevat de volgende gegevens :
1° voor de gegevensbanken van het OCAD :
a) de contactgegevens van de verwerkingsverantwoordelijke en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) de categorieën van ontvangers waaraan persoonsgegevens meegedeeld kunnen worden;
d) indien mogelijk, de beoogde termijnen voor het verwijderen van de persoonsgegevens;
e) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 154;
2° Voor gegevensbanken die aan het OCAD ter beschikking gesteld worden :
a) de contactgegevens van de verwerkingsverantwoordelijke en, indien mogelijk voor de landen buiten de Europese Unie de dienst die de gegevensbank beheert en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden van het OCAD.
§ 2. Elke verwerker houdt een register bij, geclassificeerd in de zin van de wet van 11 december 1998, van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht.
Dit register bevat de volgende elementen :
1° de contactgegevens van de verwerker en van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, desgevallend, van de functionaris voor gegevensbescherming;
2° de categorieën van verwerkingen die voor rekening van de verwerkingsverantwoordelijke zijn uitgevoerd;
3° indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 154.
§ 3. De in de paragrafen 1 en 2 bedoelde registers worden in schriftelijke vorm, met inbegrip van elektronische vorm, opgesteld.
§ 4. De verwerkingsverantwoordelijke stelt het register ter beschikking van de bevoegde toezichthoudende autoriteit op diens vraag.
De verwerker stelt het register ter beschikking van de verwerkingsverantwoordelijke en stelt het eveneens ter beschikking van de bevoegde toezichthoudende autoriteit op diens vraag.
Afdeling 5. - Functionaris voor gegevensbescherming
Art. 157. § 1. De verwerkingsverantwoordelijke, en desgevallend de verwerker, wijzen een functionaris voor gegevensbescherming aan. Deze beslissing wordt meegedeeld aan de bevoegde toezichthoudende autoriteit.
De functionaris voor gegevensbescherming is titularis van een veiligheidsmachtiging "zeer geheim", in de zin van de wet van 11 december 1998.
§ 2. De functionaris voor gegevensbescherming kan niet gestraft worden voor het uitoefenen van zijn functie. Hij kan evenmin van zijn functie ontheven worden omwille van de uitvoering van zijn opdrachten, behalve indien hij een zware fout heeft begaan of de voorwaarden noodzakelijk voor het uitoefenen van zijn functie niet langer vervult.
De functionaris voor gegevensbescherming kan zich tot het Vast Comité I wenden om deze beslissing aan te vechten.
§ 3. Hij is, op een onafhankelijke wijze, belast met :
1° het toezien op de naleving van deze ondertitel bij elke verwerking van persoonsgegevens;
2° het adviseren over alle nuttige maatregelen teneinde de veiligheid van de opgeslagen gegevens te verzekeren;
3° het informeren en adviseren van de verwerkingsverantwoordelijke, en desgevallend de verwerker, het diensthoofd en de personeelsleden van de betrokken dienst die de verwerking verrichten over hun verplichtingen op grond van deze ondertitel;
4° het verstrekken van adviezen of aanbevelingen aan de verwerkingsverantwoordelijke, en desgevallend aan de verwerker of de leidinggevende van het OCAD;
5° het uitvoeren van andere opdrachten die hem door de verwerkingsverantwoordelijke, en in voorkomend geval de verwerker of de leidinggevende van het OCAD toevertrouwd zijn.
De functionaris voor gegevensbescherming is de contactpersoon met de bevoegde toezichthoudende autoriteit met betrekking tot de toepassing van deze ondertitel.
§ 4. De verwerkingsverantwoordelijke en, desgevallend, de verwerker zien erop toe dat hun functionaris voor gegevensbescherming tijdig en naar behoren wordt betrokken bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden.
De verwerkingsverantwoordelijke en, desgevallend, de verwerker zien erop toe dat de functionaris voor gegevensbescherming de benodigde middelen ter beschikking heeft voor het vervullen van zijn opdrachten.
De functionaris voor gegevensbescherming kan worden bijgestaan door één of meerdere medewerkers.
§ 5. Desgevallend kunnen nadere regels voor de werking, de aanwijzing en de vereiste bevoegdheden door de Koning worden bepaald.
HOOFDSTUK VIII. - Mededeling en doorgifte van persoonsgegevens
Afdeling 1. - Mededeling van persoonsgegevens aan de publieke sector en de private sector
Art. 158. In afwijking van de artikelen 20, 22, 23, 58 en 59 van deze wet en van de artikelen 35 en 36 van de Verordening kan noch een protocol, noch een advies van de functionaris voor gegevensbescherming, noch een gegevensbeschermingseffectbeoordeling, noch het advies volgend op de raadpleging van de bevoegde toezichthoudende autoriteit vereist worden als voorafgaande voorwaarde voor de mededeling van persoonsgegevens tussen het OCAD en enig openbaar of particulier orgaan, in het belang van de uitvoering van de opdrachten van het OCAD.
Deze mededeling vindt plaats in overeenstemming met de artikelen 8 tot 12 van de wet van 10 juli 2006 en hoofdstuk IV, afdeling 12, onderafdeling 7bis, van de wet van 5 augustus 1992 op het politieambt.
Wanneer de partijen beslissen een protocol af te sluiten, bevat dit, in afwijking van artikel 20, § 1, tweede lid, het volgende :
1° de identificatie van het OCAD en het openbaar of particulier orgaan die de persoonsgegevens uitwisselen;
2° de identificatie van de verwerkingsverant-woordelijken;
3° de contactgegevens van de betrokken functionarissen voor gegevensbescherming;
4° de doeleinden waarvoor de persoonsgegevens worden doorgegeven;
5° de wettelijke grondslag;
6° de beperkingen van de rechten van de betrokkene.
Het protocol bedoeld in het derde lid draagt de markering "BEPERKTE VERSPREIDING" in de zin van het koninklijk besluit van 24 maart 2000 tot uitvoering van de wet van 11 december 1998, voor zover een classificatie in de zin van de wet van 11 december 1998 niet gerechtvaardigd is.
Afdeling 2. - Doorgifte van persoonsgegevens aan landen die geen lid zijn van de Europese Unie of aan internationale organisaties
Art. 159. Persoonsgegevens mogen slechts worden doorgegeven aan een land dat geen lid is van de Europese Unie of een internationale organisatie, indien dat land of die organisatie een passend beschermingsniveau en de naleving van de andere bepalingen van deze ondertitel waarborgt.
De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die betrekking hebben op de doorgifte van persoonsgegevens of op een categorie van doorgiften van persoonsgegevens. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betrokken land of de organisatie gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen of organisaties worden nageleefd.
Het passende beschermingsniveau kan verzekerd worden door veiligheidsclausules tussen de verwerkingsverantwoordelijke en de ontvanger van de persoonsgegevens.
Art. 160. In afwijking van artikel 159 mag een doorgifte van persoonsgegevens aan een land dat geen lid is van de Europese Unie of aan een internationale organisatie, hetwelke geen waarborgen biedt voor een passend beschermingsniveau, slechts plaatsvinden wanneer :
1° de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven voor de beoogde doorgifte; of
2° de doorgifte verplicht is in het kader van de internationale betrekkingen; of
3° de doorgifte noodzakelijk is ter vrijwaring van het vitaal belang van de personen; of
4° de doorgifte noodzakelijk of wettelijk verplicht is ter vrijwaring van een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.
HOOFDSTUK IX. - Toezichthoudende autoriteit
Art. 161. Het Vast Comité I, in zijn hoedanigheid van onafhankelijke publieke autoriteit, en het Vast Comité van Toezicht op de politiediensten, worden aangewezen als gegevensbeschermingsautoriteiten belast met de controle van de verwerking van persoonsgegevens door het OCAD en zijn verwerkers volgens de nadere regels vastgelegd in de wet van 18 juli 1991.
HOOFDSTUK X. - Verwerking van persoonsgegevens voor historische, wetenschappelijke of statistische doeleinden
Art. 162. In afwijking van titel 4, wordt de raadpleging voor historische, wetenschappelijke of statistische doeleinden, door een verdere verwerkingsverantwoordelijke, van persoonsgegevens van het OCAD en van hun personeel toegestaan door het OCAD indien dit geen afbreuk doet aan zijn opdrachten bedoeld in de wet van 10 juli 2006, aan een lopend opsporings- of gerechtelijk onderzoek, of aan de betrekkingen die België met vreemde staten of internationale organisaties onderhoudt en overeenkomstig de wet van 10 juli 2006.
Elke vraag aan de Rijksarchieven om verdere verwerking van persoonsgegevens van het OCAD en van hun personeel voor overige doelen dan die bedoeld in het eerste lid wordt geweigerd tenzij het doel legitiem is en het OCAD meent dat de verwerking geen afbreuk kan doen aan de belangen bedoeld in het eerste lid.
Art. 163. Vóór hun raadpleging bedoeld in artikel 162 worden de persoonsgegevens voorzien van de vermelding "Bescherming van persoonsgegevens - hoofdstuk X, ondertitel 4 van titel 3 van de wet van 30 juli 2018".
Art. 164. De persoonsgegevens bedoeld in artikel 162 worden voorafgaand aan hun raadpleging geanonimiseerd.
Indien een verdere verwerking van anonieme gegevens niet toelaat om de historische, wetenschappelijke of statistische doeleinden te verwezenlijken, kan het OCAD de raadpleging van gepseudonimiseerde gegevens toestaan.
Indien de anonimisering of pseudonimisering de identificatie van de gegevens niet onmogelijk maakt, weigert het OCAD de raadpleging indien dit een onevenredige afbreuk doet aan het privéleven.
Indien een verdere verwerking van gepseudonimiseerde gegevens niet toelaat om de historische, wetenschappelijke of statistische doeleinden te verwezenlijken, kan het OCAD de raadpleging van niet-gepseudonimiseerde gegevens toestaan indien dit geen onevenredige afbreuk doet aan het privéleven.
Art. 165. In afwijking van titel 4, is een mededeling of publicatie van niet-geanonimiseerde of niet-gepseudonimiseerde persoonsgegevens bedoeld in artikel 162, geraadpleegd door de verdere verwerkingsverantwoordelijke, is enkel mogelijk met het akkoord van het OCAD en onder de voorwaarden die het vastlegt.
Art. 166. De verdere verwerkingsverantwoordelijke van persoonsgegevens bedoeld in artikel 162 houdt een logbestand van zijn verdere verwerkingsactiviteiten voor historische, wetenschappelijke of statistische doeleinden bij.
Dit logbestand is geclassificeerd in de zin van de wet van 11 december 1998 indien de verwerking betrekking heeft op geclassificeerde gegevens.
Dit logbestand bevat de volgende informatie :
1° de contactgegevens van de eerste verwerkingsverantwoordelijke, de verdere verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming van deze laatste;
2° de doeleinden van de verdere verwerking;
3° de gegevens die het voorwerp uitmaken van de verdere verwerking;
4° de eventuele voorwaarden voor de verdere verwerking vastgelegd door het OCAD;
5° de eventuele ontvangers toegestaan door het OCAD.
Art. 167. Elke overheidsinstantie of elke natuurlijke of rechtspersoon die persoonsgegevens bedoeld in artikel 162 verwerkt om historische, wetenschappelijke of statistische doeleinden is de verantwoordelijke van deze verwerking.
Zij of hij mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme of gepseudonimiseerde gegevens in niet-anonieme of niet-gepseudonimiseerde gegevens.
ONDERTITEL 5. - De bescherming van natuurlijke personen met betrekking tot bepaalde verwerkingen van persoonsgegevens door de passagiersinformatie-eenheid
HOOFDSTUK I. - Definities
Art. 168. § 1. De definities bedoeld in artikelen 26, 1° tot 3°, 8°, 10° en 11°, en in artikel 72, § 2, 6° en 7°, zijn van toepassing op deze ondertitel.
§ 2. Voor de toepassing van deze ondertitel wordt verstaan onder :
1° "de wet van 25 december 2016" : de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens;
2° "de PIE" : de Passagiersinformatie-eenheid bedoeld in hoofdstuk 7 van de wet van 25 december 2016.
HOOFDSTUK II. - Toepassingsgebied
Art. 169. Deze ondertitel is van toepassing op elke verwerking van persoonsgegevens door de PIE in het kader van de finaliteiten bedoeld in artikel 8, § 1, 4°, van de wet van 25 december 2016.
De titels 1, 2, 4, 5 en 7 van deze wet zijn niet van toepassing op de verwerkingen bedoeld in het eerste lid. In titel 6 zijn enkel de artikelen 226, 227 en 230 van toepassing.
HOOFDSTUK III. - Algemene verwerkingsvoorwaarden
Art. 170. Persoonsgegevens :
1° worden eerlijk en rechtmatig verwerkt;
2° worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verkregen en niet verder verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden;
3° zijn toereikend, terzake dienend en niet overmatig, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;
4° zijn nauwkeurig en worden, zo nodig, bijgewerkt. Alle redelijke maatregelen worden getroffen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, te wissen of te verbeteren.
HOOFDSTUK IV. - Bewaring van persoonsgegevens
Art. 171. De persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor ze opgeslagen worden en volgens de nadere regels bepaald in hoofdstuk 9 van de wet van 25 december 2016.
HOOFDSTUK V. - Rechten van de betrokkene
Art. 172. Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op de bescherming van zijn persoonsgegevens.
Art. 173. De betrokkene heeft het recht te vragen :
1° om zijn onjuiste persoonsgegevens te laten verbeteren of verwijderen;
2° om de verificatie bij het Vast Comité I van de naleving van de bepalingen van deze ondertitel.
Art. 174. De rechten, bedoeld in artikel 173 worden kosteloos uitgeoefend door het Vast Comité I op initiatief van de betrokkene die zijn identiteit bewijst.
Het Vast Comité I voert de verificatie uit en deelt uitsluitend aan de betrokkene mee dat de nodige verificaties werden verricht.
De nadere regels voor de uitoefening van deze rechten worden bepaald in de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse.
Art. 175. Het Vast Comité I en de PIE houden een logbestand bij van alle aanvragen van betrokkenen tot uitoefening van hun rechten.
Art. 176. Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn, mag niet louter worden genomen op grond van een geautomatiseerde persoonsgegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren.
HOOFDSTUK VI. - Verplichtingen van de verwerkingsverantwoordelijke
Afdeling 1. - Algemene verplichtingen
Art. 177. De verwerkingsverantwoordelijke :
1° waakt er nauwlettend over dat de persoonsgegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met deze ondertitel, worden verbeterd of verwijderd;
2° zorgt ervoor dat voor de personen die onder zijn gezag handelen, de toegang tot de persoonsgegevens en de verwerkingsmogelijkheden, beperkt blijven tot wat nuttig is voor de uitoefening van hun opdrachten of voor de behoeften van de dienst;
3° informeert alle personen die onder zijn gezag handelen over de bepalingen van deze ondertitel en over alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer betreffende de verwerking van persoonsgegevens.
Art. 178. Eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verwerkingsverantwoordelijke verwerken, behoudens op grond van een verplichting door of krachtens een wet.
Afdeling 2. - Beveiliging van persoonsgegevens
Art. 179. De verwerkingsverantwoordelijke treft de passende technische en organisatorische maatregelen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen verzekeren een passend beveiligingsniveau, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen persoonsgegevens en de potentiële risico's.
Art. 180. § 1. Indien een inbreuk op de beveiliging een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, meldt de verwerkingsverantwoordelijke deze inbreuk binnen de kortste termijn aan het Vast Comité I en indien mogelijk, 72 uur nadat hij er kennis van heeft genomen.
§ 2. In de in paragraaf 1 bedoelde melding wordt, op zijn minst, het volgende omschreven of meegedeeld :
1° de aard van de inbreuk op de beveiliging en indien mogelijk, bij benadering, het aantal betrokkenen en de opgeslagen persoonsgegevens in kwestie;
2° de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt bij wie bijkomende informatie kan worden verkregen;
3° de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
4° de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk op de beveiliging aan te pakken, waaronder desgevallend maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Afdeling 3. - Register
Art. 181. § 1. De verwerkingsverantwoordelijke houdt een register bij van enerzijds de passagiersgegevensbank bedoeld in hoofdstuk 8 van de wet van 25 december 2016 en anderzijds van de gegevensbanken die aan haar ter beschikking worden gesteld.
Dit register bevat de volgende gegevens :
1° voor de voormelde passagiersgegevensbank :
a) de contactgegevens van de verwerkingsverantwoordelijke en van de functionaris voor gegevens-bescherming;
b) de verwerkingsdoeleinden;
c) de categorieën van ontvangers waaraan persoonsgegevens meegedeeld kunnen worden;
d) indien mogelijk, de beoogde termijnen voor het verwijderen van de persoonsgegevens;
e) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 179;
2° voor gegevensbanken die aan de PIE ter beschikking gesteld worden :
a) de contactgegevens van de verwerkingsverantwoordelijke en, indien mogelijk voor de landen buiten de Europese Unie de dienst die de gegevensbank beheert en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden van de PIE.
§ 2. Het in paragraaf 1 bedoelde register wordt in schriftelijke vorm, met inbegrip van elektronische vorm, opgesteld.
§ 3. De verwerkingsverantwoordelijke stelt het register ter beschikking van het Vast Comité I op diens vraag.
HOOFDSTUK VII. - Mededeling en doorgifte van persoonsgegevens
Art. 182. Persoonsgegevens mogen slechts worden doorgegeven aan een land dat geen lid is van de Europese Unie of een internationale organisatie, indien dat land of die organisatie een passend beschermingsniveau en de naleving van de andere bepalingen van deze ondertitel en van de bepalingen van hoofdstuk 12 van de wet van 25 december 2016 waarborgt.
De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die betrekking hebben op de doorgifte van persoonsgegevens of op een categorie van doorgiften van persoonsgegevens. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betrokken land of de organisatie gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen of organisaties worden nageleefd.
Het passende beschermingsniveau kan verzekerd worden door veiligheidsclausules tussen de verwerkingsverantwoordelijke en de ontvanger van de persoonsgegevens.
Art. 183. In afwijking van artikel 182 mag een doorgifte van persoonsgegevens aan een land dat geen lid is van de Europese Unie of aan een internationale organisatie, hetwelke geen waarborgen biedt voor een passend beschermingsniveau, slechts plaatsvinden wanneer :
1° de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven; of
2° de doorgifte verplicht is in het kader van de internationale betrekkingen; of
3° de doorgifte noodzakelijk is ter vrijwaring van het vitaal belang van de personen; of
4° de doorgifte noodzakelijk of wettelijk verplicht is ter vrijwaring van een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.
HOOFDSTUK VIII. - Toezichthoudende autoriteit
Art. 184. De verwerkingen van persoonsgegevens zoals bedoeld in deze ondertitel zijn onderworpen aan het toezicht van de toezichthoudende autoriteit bedoeld in artikel 95.
ONDERTITEL 6. - Bijzondere bepalingen
Art. 185. § 1. De volgende publieke overheden verwerken, voor zover noodzakelijk voor de uitoefening van hun opdrachten, persoonsgegevens van alle aard, inbegrepen die waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de genetische en biometrische gegevens, de gegevens over de gezondheid, de gegevens die het seksuele gedrag of de seksuele gerichtheid betreffen en deze met betrekking tot strafrechtelijke vervolgingen en tot inbreuken of veiligheidsmaatregelen die hiermee samenhangen :
1° de bestuurlijke commissie belast met het toezicht op de specifieke en uitzonderlijke methoden voor het verzamelen van gegevens door de inlichtingen- en veiligheidsdiensten in het kader van hun opdrachten bedoeld in de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten;
2° het Vast Comité I in het kader van haar opdrachten bedoeld in de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse, in de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten, en in bijzondere wetten;
3° het Vast Comité P in het kader van zijn opdrachten bedoeld in de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse en in bijzondere wetten;
4° het Controleorgaan op de politionele informatie in het kader van haar opdrachten bedoeld in artikel 71, § 1.
§ 2. Om de vertrouwelijkheid en de doeltreffendheid van de uitvoering van de opdrachten bedoeld in paragraaf 1, te verzekeren, is de toegang van de betrokkene tot zijn persoonsgegevens beperkt tot wat voorzien is in de bijzondere wetten.
§ 3. De betrokkene heeft het recht te vragen om zijn onjuiste persoonsgegevens, verwerkt door de in paragraaf 1 vermelde overheden, te laten verbeteren of verwijderen.
§ 4. In afwijking van de bestuurlijke commissie bedoeld in paragraaf 1, 1°, die onder de bevoegdheid van het Vast Comité I valt, is de verwerking van persoonsgegevens door de overheden bedoeld in paragraaf 1 in het kader van hun opdrachten als toezichthoudende autoriteit niet onderworpen aan het toezicht van de Gegevensbeschermingsautoriteit bedoeld in de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit.
TITEL 4. - Verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89, §§ 2 en 3, van de Verordening
HOOFDSTUK I. - Algemene bepalingen
Art. 186. Deze titel bepaalt het uitzonderingsregime ten aanzien van de rechten van betrokkenen bedoeld in artikel 89, §§ 2 en 3, van de Verordening.
Voor zover de uitoefening van de in artikel 89, §§ 2 en 3, van de Verordening bedoelde rechten de verwezenlijking van de verwerkingen met het oog op archivering in het algemeen belang, het wetenschappelijk of historisch onderzoek of statistische doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en afwijkingen noodzakelijk zijn om die doeleinden te bereiken, worden deze afwijkingen toegepast onder de voorwaarden bepaald door deze titel.
Art. 187. De artikelen 190 tot 204 zijn niet van toepassing mits naleving van een overeenkomstig artikel 40 van de Verordening goedgekeurde gedragscode.
Art. 188. Voor de toepassing van deze titel wordt verstaan onder :
1° "derde vertrouwenspersoon" : de natuurlijke persoon of rechtspersoon, de feitelijke vereniging of de overheidsadministratie, niet zijnde de verantwoordelijke voor de verwerking met het oog op archivering of onderzoek of statistische doeleinden, die de gegevens pseudonimiseert;
2° "mededeling van gegevens" : mededeling van gegevens aan geïdentificeerde derde;
3° "verspreiding van gegevens" : bekendmaking van de gegevens, zonder identificatie van de derde.
Art. 189. Deze titel is niet van toepassing op de verwerkingen verricht door de overheden bedoeld in titel 3.
HOOFDSTUK II. - Algemene waarborgen
Art. 190. De verwerkingsverantwoordelijke wijst een functionaris voor gegevensbescherming aan indien de verwerking van de persoonsgegevens een hoog risico kan inhouden zoals bedoeld in artikel 35 van de Verordening.
Art. 191. Voorafgaand aan de verzameling, en onverminderd de artikelen 24 en 30 van de Verordening, voegt de verantwoordelijke voor de verwerking met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden volgende elementen toe aan het register van de verwerkingsactiviteiten :
1° de verantwoording van het gebruik van de al dan niet gepseudonimiseerde gegevens;
2° de redenen volgens dewelke de uitoefening van de rechten van de betrokkene de verwezenlijking van de doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren;
3° desgevallend, de gegevensbeschermingseffectbeoordeling wanneer de verwerkingsverantwoordelijke met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden gevoelige gegevens, in de zin van artikel 9.1 van de Verordening, verwerkt.
Art. 192. Voorafgaand aan de verzameling, en onverminderd de artikelen 24 en 30 van de Verordening, voegt de verantwoordelijke voor de verwerking met het oog op archivering in het algemeen belang volgende elementen toe aan het register van de verwerkingsactiviteiten :
1° de verantwoording van het algemeen belang van de bewaarde archieven;
2° de redenen volgens dewelke de uitoefening van de rechten van de betrokkene de verwezenlijking van de doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren.
HOOFDSTUK III. - Gegevensverzameling
Afdeling 1 - Gegevensverzameling bij de betrokkene
Art. 193. Onverminderd artikel 13 van de Verordening informeert de verwerkingsverantwoordelijke die persoonsgegevens verzamelt bij de betrokkene hem over :
1° het feit dat de gegevens al dan niet worden geanonimiseerd;
2° de redenen volgens dewelke de uitoefening van de rechten van de betrokkene de verwezenlijking van de doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren.
Afdeling 2. - Verdere verwerking van gegevens
Art. 194. Wanneer persoonsgegevens niet bij de betrokkene zijn verzameld, sluit de verwerkingsverantwoordelijke een overeenkomst met de verantwoordelijke voor de oorspronkelijke verwerking af.
Het eerste lid is niet van toepassing wanneer :
1° de verwerking betrekking heeft op persoonsgegevens die publiek zijn gemaakt;
2° wanneer het recht van de Europese Unie, een wet, een decreet of een ordonnantie :
a) mandaat geeft aan de verwerkingsverantwoordelijke om persoonsgegevens te verwerken met het oog op archivering in het algemeen belang, het wetenschappelijk of historisch onderzoek of statistische doeleinden; en
b) het hergebruik van de verzamelde gegevens voor andere doeleinden verbiedt.
In geval van vrijstelling van het afsluiten van een overeenkomst, informeert de verwerkingsverantwoordelijke de verantwoordelijke van de oorspronkelijke verwerking over de gegevensverzameling.
Art. 195. De overeenkomst of de kennisgeving bedoeld in artikel 194 bepaalt de volgende elementen :
1° in geval van een overeenkomst, de contactgegevens van de verantwoordelijke voor de oorspronkelijke verwerking en van de verantwoordelijke voor de verdere verwerking;
2° de redenen volgens dewelke de uitoefening van de rechten van de betrokkene de verwezenlijking van de doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren.
Art. 196. De overeenkomst of de kennisgeving betreffende de gegevensverzameling worden bij het register van de verwerkingsactiviteiten gevoegd.
Art. 197. De verantwoordelijke voor de verwerking met het oog op onderzoek of statistische doeleinden gebruikt anonieme gegevens.
Indien het niet mogelijk is om met een verwerking van anonieme gegevens het onderzoeksdoel of statistische doel te bereiken, gebruikt de verwerkingsverantwoordelijke gepseudonimiseerde gegevens.
Indien het niet mogelijk is om met een verwerking van gepseudonimiseerde gegevens het onderzoeksdoel of het statistische doel te bereiken, gebruikt de verwerkingsverantwoordelijke niet-gepseudonimiseerde gegevens.
Afdeling 3. - Anonimisering of pseudonimisering van de gegevens verwerkt met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden
Art. 198. Bij een verwerking van gegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden, gebaseerd op een gegevensverzameling bij de betrokkene, gaat de verwerkingsverantwoordelijke over tot de anonimisering of pseudonimisering van de gegevens na de verzameling ervan.
Art. 199. Bij een verwerking van gegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden door een verantwoordelijke voor een latere verwerking die dezelfde is als de verantwoordelijke voor de oorspronkelijke verwerking anonimiseert of pseudonimiseert de verwerkingsverantwoordelijke de gegevens voorafgaandelijk aan hun verdere verwerking.
Art. 200. De verwerkingsverantwoordelijke mag de gegevens slechts depseudonimiseren indien dat noodzakelijk is voor het onderzoek of de statistische doeleinden, en desgevallend na advies van de functionaris voor gegevensbescherming.
Art. 201. Onverminderd bijzondere bepalingen, bij een verwerking van gegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden door een verwerkingsverantwoordelijke die verschillend is van de verantwoordelijke voor de oorspronkelijke verwerking, pseudonimiseert of anonimiseert de verantwoordelijke voor de oorspronkelijke verwerking de gegevens voorafgaandelijk aan de mededeling ervan aan de verantwoordelijke voor de verdere verwerking.
De verantwoordelijke voor de verdere verwerking heeft geen toegang tot de sleutels van de pseudonimisering.
Art. 202. § 1. Onverminderd bijzondere bepalingen, bij een verwerking van gegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden waarbij meerdere oorspronkelijke verwerkingen worden gekoppeld, laten de verantwoordelijken voor de oorspronkelijke verwerkingen voorafgaandelijk aan de mededeling van de gegevens aan de verantwoordelijke voor de verdere verwerking, de gegevens anonimiseren of pseudonimiseren door een van de verantwoordelijken voor de oorspronkelijke verwerking of door een derde vertrouwenspersoon.
§ 2. Onverminderd bijzondere bepalingen, bij een verwerking van gegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden die verschillende oorspronkelijke verwerkingen, waarvan tenminste één van gevoelige gegevens, aan elkaar koppelt, laten de verantwoordelijken voor de oorspronkelijke verwerkingen voorafgaandelijk aan de mededeling van de gegevens aan de verantwoordelijke voor de verdere verwerking, de gegevens anonimiseren of pseudonimiseren door de verantwoordelijke voor de oorspronkelijke verwerking van gevoelige gegevens of door een derde vertrouwenspersoon.
Enkel de verantwoordelijke voor de oorspronkelijke verwerking die de gegevens heeft gepseudonimiseerd of de derde vertrouwenspersoon heeft toegang tot de pseudonimiseringssleutels.
Art. 203. De derde vertrouwenspersoon is :
1° onderworpen aan het beroepsgeheim in de zin van artikel 458 van het Strafwetboek, onder voorbehoud van andere bepalingen van deze wet en van de Verordening;
2° niet afhankelijk van de persoon die verantwoordelijk is voor de oorspronkelijke en de verdere verwerking.
Art. 204. Indien een functionaris voor gegevensbescherming overeenkomstig artikel 190 werd aangewezen, geeft deze advies over het gebruik van de verschillende methoden voor pseudonimisering en anonimisering, in het bijzonder de doeltreffendheid ervan voor wat betreft de bescherming van gegevens.
Afdeling 4. - Verspreiding van gegevens verwerkt met het oog op archivering in het algemeen belang, het wetenschappelijk of historisch onderzoek of statistische doeleinden
Art. 205. Onverminderd de Europese regelgeving, bijzondere wetten, ordonnanties en decreten die strengere voorwaarden opleggen voor de verspreiding van de gegevens die verwerkt zijn met het oog op archivering in het algemeen belang, het wetenschappelijk of historisch onderzoek of statistische doeleinden, verspreidt de verwerkingsverantwoordelijke geen niet-gepseudonimiseerde gegevens, tenzij :
1° de betrokkene zijn toestemming heeft verleend; of
2° de gegevens door de betrokkene zelf openbaar zijn gemaakt; of
3° de gegevens nauw samenhangen met het openbare of historische karakter van de betrokkene; of
4° de gegevens nauw samenhangen met het openbare of historische karakter van feiten waarbij de betrokkene betrokken was.
Art. 206. Onverminderd de Europese regelgeving, bijzondere wetten, ordonnanties en decreten die strengere voorwaarden opleggen voor de verspreiding van de gegevens die verwerkt zijn met het oog op archivering in het algemeen belang, het wetenschappelijk of historisch onderzoek of statistische doeleinden, mag de verwerkingsverantwoordelijke gepseudonimiseerde persoonsgegevens verspreiden, uitgezonderd wat betreft de persoonsgegevens bedoeld in artikel 9.1 van de Verordening.
Afdeling 5. - Mededeling van de gegevens verwerkt met het oog op archivering in het algemeen belang, het wetenschappelijk of historisch onderzoek of statistische doeleinden
Art. 207. Onverminderd het recht van de Europese Unie, bijzondere wetten, ordonnanties en decreten die strengere voorwaarden opleggen voor de mededeling, ziet de verwerkingsverantwoordelijke die niet-gepseudonimiseerde gegevens aan een geïdentificeerde derde meedeelt voor de doeleinden bedoeld in artikel 89 van de Verordening erop toe dat de geïdentificeerde derde de meegedeelde gegevens niet kan reproduceren, behalve op handgeschreven wijze, wanneer :
1° het om persoonsgegevens gaat bedoeld in de artikelen 9.1 en 10 van de Verordening; of
2° de overeenkomst tussen de verantwoordelijke voor de oorspronkelijke verwerking en de verantwoordelijke voor de verdere verwerking zulks verbiedt; of
3° die reproductie de veiligheid van de betrokkene in het gedrang kan brengen.
Art. 208. De verplichting bedoeld in artikel 207 is niet van toepassing indien :
1° de betrokkene zijn toestemming heeft verleend; of
2° de gegevens door de betrokkene zelf openbaar zijn gemaakt; of
3° de gegevens nauw samenhangen met het openbare of historische karakter van de betrokkene; of
4° de gegevens nauw samenhangen met het openbare of historische karakter van feiten waarbij de betrokkene betrokken was.
TITEL 5. - Rechtsmiddelen en vertegenwoordiging van de betrokkenen
HOOFDSTUK I. - Vordering tot staking
Art. 209. Onverminderd andere mogelijkheden tot rechterlijk, administratief of buitengerechtelijk beroep, stelt de voorzitter van de rechtbank van eerste aanleg, zitting houdende zoals in kort geding, het bestaan vast van een verwerking die een inbreuk uitmaakt op een wettelijke en reglementaire bepaling betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en beveelt er de staking van.
De voorzitter van de rechtbank van eerste aanleg, zitting houdende zoals in kort geding, neemt kennis van de vorderingen betreffende het door of krachtens de wet verleende recht om kennis te krijgen van persoonsgegevens, alsook van de vorderingen tot rectificatie, tot verwijdering of tot het verbieden van de aanwending van onjuiste persoonsgegevens of die gelet op het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel waarvan de registratie de mededeling of de bewaring verboden is, tegen de verwerking waarvan de betrokkene zich heeft verzet of die langer bewaard werden dan de toegestane duur.
Art. 210. Vanaf het moment dat de verwerking bedoeld in artikel 209, persoonsgegevens betreft die worden verwerkt in de loop van een opsporingsonderzoek, van een gerechtelijk onderzoek, een strafrechtelijke procedure voor de bodemrechter of een procedure voor de uitvoering van een strafrechtelijk vonnis, behoort de beslissing over de rectificatie, de wissing of het verbod op gebruik van de persoonsgegevens, of de beperking van de verwerking, echter uitsluitend, naar gelang de fase van de procedure, tot het openbaar ministerie of de bevoegde strafrechter.
Art. 211. § 1. De vordering tot staking wordt ingediend bij verzoekschrift op tegenspraak, overeenkomstig de artikelen 1034ter tot 1034sexies van het Gerechtelijk Wetboek.
§ 2. In afwijking van artikel 624 van hetzelfde Wetboek kan de vordering naar keuze van de eiser worden gebracht voor de voorzitter van de rechtbank van eerste aanleg van :
1° de woonplaats of verblijfplaats van de eiser, indien de eiser of minstens één van de eisers de betrokkene is;
2° de woonplaats, verblijfplaats, zetel of plaats van vestiging van de verweerders of één van de verweerders;
3° de plaats of één van de plaatsen waar een deel of het geheel van de verwerking gebeurt.
Indien de verweerder geen woonplaats, verblijfplaats, zetel of plaats van vestiging in België heeft, wordt de vordering gebracht voor de voorzitter van de rechtbank van eerste aanleg te Brussel.
§ 3. De vordering gegrond op artikel 209 wordt ingesteld door :
1° de betrokkene;
2° de bevoegde toezichthoudende autoriteit.
Art. 212. Behoudens de toepassing van andersluidende bepalingen in internationale verdragen die in België van kracht zijn of in het recht van de Europese Unie, en onverminderd hun internationale rechtsmacht op grond van de bepalingen van het Wetboek van internationaal privaatrecht, hebben de Belgische hoven en rechtbanken in elk geval internationale rechtsmacht voor de in artikel 209 van deze wet bedoelde vorderingen tegen :
1° een verwerkingsverantwoordelijke of een verwerker die op Belgisch grondgebied gevestigd is of een vestiging heeft, wat betreft de verwerking van persoonsgegevens in het kader van de activiteiten van die vestiging, ongeacht de plaats waar de verwerking plaatsvindt;
2° een verwerkingsverantwoordelijke of verwerker die niet op Belgisch grondgebied gevestigd is of een vestiging heeft, wat betreft verwerkingen die gevolgen hebben voor of geheel of gedeeltelijk gericht zijn op betrokkenen die zich op het Belgisch grondgebied bevinden.
Art. 213. De beschikking wordt ter kennis gebracht aan de bevoegde toezichthoudende autoriteit binnen acht dagen te rekenen vanaf de uitspraak.
Bovendien licht de griffier van de rechtbank waar een beroep is ingesteld tegen de in het eerste lid bedoelde beschikking de bevoegde toezichthoudende autoriteit onverwijld.
Art. 214. De voorzitter van de rechtbank van eerste aanleg kan een termijn toestaan om aan de inbreuk een einde te maken, wanneer de aard van de inbreuk dit nodig maakt. Hij kan de opheffing van het stakingsbevel toestaan wanneer een einde werd gemaakt aan de inbreuk.
Art. 215. De voorzitter van de rechtbank van eerste aanleg kan toestaan dat zijn beslissing of de samenvatting ervan die hij opstelt, wordt aangeplakt tijdens de door hem bepaalde termijn, zowel buiten als binnen de betrokken inrichtingen, en kan op de wijze die hij gepast acht bevelen dat zijn beschikking of de samenvatting ervan in kranten of op enige andere wijze wordt bekendgemaakt, dit alles op kosten van de in het ongelijk gestelde partij.
De in het eerste lid vermelde maatregelen van openbaarmaking mogen evenwel slechts toegestaan worden indien zij er toe kunnen bijdragen dat de gewraakte daad of de uitwerking ervan ophouden.
Art. 216. Volgend op de in artikel 209 bedoelde vordering kan de eiser een schadevergoeding vorderen overeenkomstig het contractuele of buitencontractuele aansprakelijkheidsrecht.
Art. 217. Indien onjuiste, onvolledige of niet ter zake dienende persoonsgegevens of persoonsgegevens waarvan de bewaring verboden is, aan derden zijn medegedeeld, of indien een mededeling van persoonsgegevens heeft plaatsgehad na verloop van de tijd waarin de bewaring van die persoonsgegevens toegelaten is, kan de voorzitter van de rechtbank van eerste aanleg gelasten dat de verwerkingsverantwoordelijke, de verwerker, de ontvanger of hun gedelegeerde aan die derden kennis geeft van de beperking van de verwerking of de rectificatie of verwijdering van die persoonsgegevens.
Art. 218. Indien dwingende redenen bestaan om te vrezen dat bewijselementen die kunnen worden aangevoerd ter ondersteuning van een vordering voorzien in dit hoofdstuk worden verheeld, verdwijnen of ontoegankelijk worden gemaakt, gelast de voorzitter van de rechtbank van eerste aanleg op eenzijdig verzoekschrift elke maatregel ter voorkoming van die verheling, verdwijning of ontoegankelijkheid.
Art. 219. Onverminderd artikel 210 houden de bepalingen van dit hoofdstuk geen beperking in van de bevoegdheid van de rechtbank van eerste aanleg en van de voorzitter van de rechtbank van eerste aanleg zetelend in kort geding.
HOOFDSTUK II. - Vertegenwoordiging van betrokkenen
Art. 220. § 1. De betrokkene heeft het recht om een orgaan, een organisatie, of een vereniging zonder winstoogmerk de opdracht te geven een klacht namens hem in te dienen en namens hem de administratieve of gerechtelijke beroepen uit te oefenen, hetzij aan de bevoegde toezichthoudende autoriteit, hetzij aan de rechterlijke macht als bepaald in de bijzondere wetten, het Gerechtelijk Wetboek en het Wetboek van strafvordering.
§ 2. Bij de geschillen voorzien in paragraaf 1, moet een orgaan, een organisatie of een vereniging zonder winstoogmerk :
1° op geldige wijze zijn opgericht in overeenstemming met de Belgische wetgeving;
2° rechtspersoonlijkheid bezitten;
3° statutaire doelstellingen van openbaar belang hebben;
4° actief zijn op het gebied van de bescherming van de rechten en vrijheden van de betrokkenen in het kader van de bescherming van de persoonsgegevens en dit sedert ten minste drie jaar.
§ 3. Het orgaan, de organisatie of vereniging zonder winstoogmerk bewijst door de voorlegging van haar activiteitenverslagen of van enig ander stuk, dat zijn activiteit minstens drie jaar effectief is geweest, dat het overeenstemt met haar maatschappelijk doel en dat deze activiteit betrekking heeft op de bescherming van persoonsgegevens.
TITEL 6. - Sancties
HOOFDSTUK I. - Administratieve sancties
Art. 221. § 1. De corrigerende bevoegdheden van de toezichthoudende autoriteit krachtens artikel 58.2 van de Verordening zijn tevens van toepassing op de artikelen 7 tot 10, 20 tot 24, 28 tot 70 van titel 2 en op titel 4 van deze wet.
Onverminderd bijzondere bepalingen, is het eerste lid niet van toepassing op de verwerkingen van door artikel 26, 7°, b), bedoelde bevoegde overheden in de uitoefening van hun rechterlijke taken.
§ 2. Het artikel 83 van de Verordening is niet van toepassing op de overheid en hun aangestelden of gemachtigden, tenzij het gaat om een publiekrechtelijke rechtspersoon die goederen of diensten aanbiedt op een markt.
HOOFDSTUK II. - Strafsancties
Art. 222. De verwerkingsverantwoordelijke of de verwerker, zijn aangestelde of gemachtigde, de bevoegde overheid, zoals bedoeld in titels 1 en 2, wordt gestraft met een geldboete van tweehonderdvijftig euro tot vijftienduizend euro wanneer :
1° de persoonsgegevens verwerkt worden zonder wettelijke basis in overeenstemming met artikel 6 van de Verordening en de artikelen 29, § 1, en 33, § 1, van deze wet, inbegrepen de voorwaarden voor de toestemming en verdere verwerking;
2° de persoonsgegevens verwerkt worden in overtreding van de voorwaarden opgelegd door artikel 5 van de Verordening en artikel 28 van deze wet, met ernstige nalatigheid of kwaadwillig;
3° de verwerking waartegen ingevolge artikel 21.1 van de Verordening bezwaar is gemaakt, wordt gehandhaafd zonder dwingende wettige redenen;
4° de doorgifte van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie, gebeurt in overtreding van de waarborgen, voorwaarden of uitzonderingen voorzien in de artikelen 44 tot 49 van de Verordening of de artikelen 66 tot 70 van deze wet met ernstige nalatigheid of kwaadwillig;
5° de door de toezichthoudende autoriteit vastgestelde corrigerende maatregel voor de tijdelijke of definitieve beperking van stromen in overeenstemming met artikel 58.2.f) van de Verordening niet wordt gerespecteerd;
6° de door de toezichthoudende autoriteit vastgestelde corrigerende maatregel in de zin van artikel 58.2.d) van de Verordening niet wordt gerespecteerd;
7° de wettelijke verificatie- en controle-opdrachten van de bevoegde toezichthoudende overheid, haar leden of deskundigen werden belemmerd;
8° weerspannigheid, in de zin van artikel 269 van het Strafwetboek, werd gepleegd ten aanzien van de leden van de toezichthoudende autoriteit;
9° de certificering bedoeld in artikel 42 van de Verordening wordt opgeëist of certificeringszegels voor gegevensbescherming worden openbaar gebruikt, ook al zijn die certificeringen, zegels of merktekens niet afgeleverd door een geaccrediteerde entiteit of worden ze gebruikt nadat de geldigheid van de certificering, de zegel of het merkteken is verlopen;
10° de certificering bedoeld in artikel 42 van de Verordening is verkregen op basis van valse documenten of onjuiste documenten;
11° taken worden uitgevoerd als een certificeringsorgaan, ook al is deze niet geaccrediteerd door de bevoegde nationale accreditatie-instantie;
12° het certificeringsorgaan niet voldoet aan de beginselen en taken waaraan het onderworpen is, zoals bepaald in de artikelen 42 en 43 van de Verordening;
13° de taken van het in artikel 41 van de Verordening bedoelde orgaan worden uitgevoerd zonder accreditatie van de bevoegde toezichthoudende autoriteit;
14° het geaccrediteerde orgaan bedoeld in artikel 41 van de Verordening niet de passende maatregelen heeft genomen in geval van een inbreuk op de gedragscode zoals bedoeld in artikel 41.4 van de Verordening.
Art. 223. Met een geldboete van vijfhonderd euro tot dertigduizend euro wordt de verwerkingsverantwoordelijke bedoeld in titel 1, de verwerker of de persoon die handelt onder hun gezag gestraft die :
1° de betrokkene, als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, heeft ingelicht over het bestaan van een persoonsgegeven dat hem aangaat dat afkomstig is van een overheid bedoeld in titel 3 in overtreding van artikel 11, terwijl hij de oorsprong van het gegeven kende en hij zich niet bevond in één van de gevallen bedoeld in artikel 11, § 2, eerste lid, 1° of 2° ;
2° de betrokkene, als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, heeft ingelicht dat een overheid bedoeld in titel 3 de ontvanger is van één van zijn persoonsgegevens in overtreding van artikel 12.
Art. 224. Met een geldboete van tweehonderd euro tot tienduizend euro wordt gestraft elk lid of elk personeelslid van de bevoegde toezichthoudende autoriteit of elke deskundige die de verplichting tot vertrouwelijkheid waartoe hij is gehouden heeft geschonden.
Art. 225. Bij veroordeling wegens een misdrijf omschreven in de artikelen 222 of 223, kan de rechtbank bevelen dat het vonnis in zijn geheel of bij uittreksel wordt opgenomen in een of meerdere dagbladen op de wijze die zij bepaalt, zulks op kosten van de veroordeelde.
Art. 226. De verwerkingsverantwoordelijke of de persoon die handelt onder het gezag van de overheid bedoeld in titel 3 of van diens verwerker, die als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, één van de verplichtingen van vertrouwelijkheid en veiligheid, bedoeld in de artikelen 83 tot 86, 116 tot 119, 149 tot 152, 177 en 178 niet heeft nageleefd, wordt gestraft met een geldboete van honderd euro tot tienduizend euro.
Art. 227. Met een geldboete van honderd euro tot twintigduizend euro wordt gestraft :
1° de verwerkingsverantwoordelijke, de verwerker, de persoon die handelt onder het gezag van de overheid bedoeld in titel 3 of van de verwerker of de aangestelde die, als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, de persoonsgegevens verwerkt buiten de gevallen bedoeld in de artikelen 74, 108, 140 en 170;
2° de verwerkingsverantwoordelijke, de verwerker of de aangestelde die persoonsgegevens verwerkt met overtreding van de voorwaarden voor de verwerking opgelegd door de artikelen 75, 109, 141 en 170 en de persoon die handelt onder het gezag van de overheid bedoeld in titel 3 of van diens verwerker, die als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, gegevens verwerkt in overtreding van de voorwaarden opgelegd door de artikelen 75, 109, 141 en 170;
3° hij die, om een persoon te dwingen hem zijn instemming te geven met de verwerking van de hem betreffende persoonsgegevens, jegens die persoon gebruik maakt van feitelijkheden, geweld, bedreigingen, giften of beloften;
4° hij die persoonsgegevens doorgeeft, doet of laat doorgeven, als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, naar een land dat geen lid is van de Europese Unie of een internationale organisatie zonder dat is voldaan aan de vereisten opgelegd door de artikelen 93, 94, 126, 127, 159, 160, 182 en 183;
5° elke persoon die als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, toegang heeft tot persoonsgegevens bedoeld in artikelen 99, 132 en 162 voor historische, wetenschappelijke of statistische doeleinden, en die deze gegevens verwerkt in overtreding van de artikelen 102, 104, 135, 137, 165 of 167.
Art. 228. Onverminderd bijzondere bepalingen, is de verwerkingsverantwoordelijke, de verwerker, of zijn vertegenwoordiger in België burgerrechtelijk aansprakelijk voor de betaling van de boeten waartoe zijn aangestelde of gemachtigde is veroordeeld.
Art. 229. § 1. Met betrekking tot de in de artikelen 222 en 223 bedoelde inbreuken kunnen de bevoegde toezichthoudende autoriteit en het College van procureurs-generaal een protocol afsluiten voor het vastleggen van de werkafspraken tussen de toezichthoudende autoriteit en het openbaar ministerie in dossiers die betrekking hebben op feiten waarvoor de wetgeving zowel in de mogelijkheid van een administratieve geldboete als in de mogelijkheid van een strafsanctie voorziet.
De Koning legt, bij een besluit vastgesteld na overleg in de Ministerraad, de nadere regels en het model vast van dit protocolakkoord.
Dit protocol leeft alle wettelijke bepalingen na die met name betrekking hebben op de procedures voorzien voor de overtreders en kan niet afwijken van de rechten van de overtreders.
Het protocol wordt in het Belgisch Staatsblad en op de internetsite van de bevoegde toezichthoudende autoriteit bekendgemaakt.
§ 2. Bij gebrek aan een protocol en voor de inbreuken bedoeld in de artikelen 222 en 223 beschikt de procureur des Konings over een termijn van twee maanden, te rekenen vanaf de dag van ontvangst van het origineel proces-verbaal, om aan de bevoegde toezichthoudende autoriteit mee te delen dat een opsporingsonderzoek of een gerechtelijk onderzoek werd opgestart of vervolging werd ingesteld. Deze mededeling doet de mogelijkheid vervallen voor de toezichthoudende autoriteit om haar corrigerende bevoegdheden uit te oefenen.
De bevoegde toezichthoudende autoriteit kan geen sanctie opleggen vóór het verstrijken van deze termijn. Bij gebrek aan een mededeling vanwege de procureur des Konings binnen twee maanden, kunnen de feiten enkel nog administratiefrechtelijk worden bestraft.
Art. 230. Alle bepalingen van boek I van het Strafwetboek, met inbegrip van hoofdstuk VII en artikel 85, worden toegepast op de misdrijven, omschreven bij deze wet of bij de uitvoeringsbesluiten ervan.
TITEL 7. - Controleorgaan op de politionele informatie
HOOFDSTUK I. - Samenstelling en statuut van de leden en van de dienst onderzoeken
Art. 231. § 1. Het Controleorgaan op de politionele informatie, hierna aangeduid als "Controleorgaan" is samengesteld uit drie werkende leden, waaronder een voorzitter, die hun functies voltijds uitoefenen. De toezichthoudende autoriteit is naast de Voorzitter, die een magistraat is, samengesteld uit een magistraat van het openbaar ministerie en een expert.
Behoudens één van de leden die functioneel tweetalig is, bestaat het Controleorgaan uit een gelijk aantal Nederlandstalige en Franstalige leden. De leden hebben een functionele kennis van de tweede landstaal en van het Engels. Ten minste één lid heeft ook een functionele kennis van het Duits. Zij worden allen benoemd door de Kamer van volksvertegenwoordigers, die hen ook kan afzetten wanneer de in artikel 232 bepaalde voorwaarden in hun hoofde niet meer vervuld zijn of wegens ernstige redenen. Zij kunnen niet van hun mandaat worden ontheven voor meningen die zij uiten of daden die zij stellen bij het vervullen van hun opdrachten.
§ 2. De leden van het Controleorgaan worden op grond van hun competentie, hun ervaring, hun onafhankelijkheid en hun moreel gezag door de Kamer van volksvertegenwoordigers voor een termijn van zes jaar, éénmaal hernieuwbaar, aangesteld.
Deze termijn begint te lopen vanaf hun eedaflegging. Na afloop van deze termijn, blijven de leden hun functie uitoefenen tot de eedaflegging van hun opvolger.
De leden mogen geen bij verkiezing verleend openbaar mandaat uitoefenen. Zij mogen geen openbare of particuliere betrekking of activiteit uitoefenen die de onafhankelijkheid of de waardigheid van het ambt in gevaar zou kunnen brengen of die onverenigbaar is met hun functie.
§ 3. Alvorens in dienst te treden leggen de leden van het Controleorgaan in handen van de voorzitter van de Kamer van volksvertegenwoordigers de bij artikel 2 van het decreet van 20 juli 1831 voorgeschreven eed af.
§ 4. Het Controleorgaan is daarnaast samengesteld uit een dienst onderzoeken, hierna genoemd "de dienst onderzoeken", die bestaat uit drie werkende leden die hun functies voltijds uitoefenen, waaronder twee leden van de politiediensten in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politie gestructureerd op twee niveaus, en een expert.
De dienst onderzoeken hangt exclusief af van het Controleorgaan. Het Controleorgaan oefent het gezag uit over de dienst onderzoeken, vertrouwt hem opdrachten toe en ontvangt een verslag over alle opdrachten die worden uitgevoerd.
§ 5. De leden van de dienst onderzoeken worden benoemd door het Controleorgaan die hen ook kan afzetten wanneer de in artikel 232 bepaalde voorwaarden in hun hoofde niet meer vervuld zijn of wegens ernstige redenen. De leden van de dienst onderzoeken worden voor een mandaat met een vernieuwbare termijn van zes jaar benoemd, op grond van hun competentie.
§ 6. Alvorens in dienst te treden, leggen de leden van de dienst onderzoeken in handen van de voorzitter van het Controleorgaan de bij artikel 2 van het decreet van 20 juli 1831 voorgeschreven eed af.
Art. 232. § 1. Op het ogenblik van hun benoeming vervullen de leden van het Controleorgaan de volgende algemene voorwaarden :
1° Belg zijn;
2° genieten van de burgerlijke en politieke rechten;
3° van onberispelijk gedrag zijn;
4° het bewijs leveren van hun deskundigheid in het domein van de bescherming van persoonsgegevens en van de politionele informatiehuishouding;
5° houder zijn van een veiligheidsmachtiging van het niveau "zeer geheim" verleend overeenkomstig de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
6° geen functie uitoefenen in een beleidscel van een federale of regionale minister.
§ 2. Op het ogenblik van hun benoeming hebben de voorzitter en de magistraat van het openbaar ministerie een relevante ervaring of deskundigheid van minstens tien jaar in het domein van de bescherming van persoonsgegevens en de politionele informatiehuishouding.
§ 3. Op het ogenblik van zijn benoeming voldoet het lid-expert van het Controleorgaan aan de volgende specifieke voorwaarden :
1° tien jaar ervaring hebben als deskundige in het domein van de bescherming van persoonsgegevens en de politionele informatiehuishouding;
2° houder zijn van een diploma licentiaat of master in de rechten dat toegang verleent tot de betrekkingen van niveau A in de Rijksbesturen.
§ 4. Ingeval een mandaat van lid van het Controleorgaan om welke reden ook openvalt, wordt overgegaan tot de vervanging ervan voor de nog resterende duur van het mandaat.
§ 5. Op het ogenblik van hun benoeming vervullen de leden van de dienst onderzoeken de volgende algemene voorwaarden :
1° Belg zijn;
2° genieten van de burgerlijke en politieke rechten;
3° van onberispelijk gedrag zijn;
4° het bewijs leveren van hun deskundigheid in het domein van de bescherming van persoonsgegevens en van de politionele informatiehuishouding;
5° houder zijn van een veiligheidsmachtiging van het niveau "zeer geheim" verleend overeenkomstig de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
6° geen functie uitoefenen in een beleidscel van een federale of regionale minister.
§ 6. Op het ogenblik van hun benoeming vervullen de personeelsleden van de politiediensten die lid zijn van de dienst onderzoeken, de volgende specifieke voorwaarden :
1° ten minste tien jaar dienstanciënniteit hebben en ten minste bekleed zijn met de graad van commissaris van politie of van niveau A zijn indien het een personeelslid betreft van het administratief en logistiek kader;
2° geen eindevaluatie "onvoldoende" hebben gekregen tijdens de vijf jaar voorafgaand aan de indiening van de kandidaatstelling, noch een niet uitgewiste zware tuchtstraf hebben opgelopen;
3° een ervaring van minimum twee jaar bezitten inzake de verwerking van politionele informatie of de bescherming van persoonsgegevens.
§ 7. Op het ogenblik van hun benoeming voldoen de experten van de dienst onderzoeken aan de volgende specifieke voorwaarden :
1° vijf jaar ervaring hebben als deskundige in het domein van de bescherming van persoonsgegevens en de politionele informatiehuishouding;
2° houder zijn van een diploma licentiaat of master dat toegang verleent tot de betrekkingen van niveau A in de Rijksbesturen.
Art. 233. § 1. Het Controleorgaan stelt zijn huishoudelijk reglement op en kan zijn interne organisatie bepalen. Het huishoudelijk reglement wordt ter goedkeuring voorgelegd aan de Kamer van volksvertegenwoordigers.
De voorzitter leidt, met inachtneming van de collegialiteit, de vergaderingen van het Controleorgaan en zorgt voor het dagelijks beheer van de werkzaamheden. Hij ziet toe op de goede werking van het Controleorgaan, op de goede uitvoering van de opdrachten ervan, alsook op de toepassing van het huishoudelijk reglement. Het voormelde huishoudelijk reglement bepaalt welk lid de opdrachten van de voorzitter overneemt, wanneer hij afwezig of verhinderd is.
§ 2. De leden van het Controleorgaan krijgen noch vragen binnen de perken van hun bevoegdheden op directe of indirecte wijze van niemand instructies. Het is hen verboden aanwezig te zijn bij een beraadslaging of besluit over dossiers waarbij zij een persoonlijk of rechtstreeks belang hebben of waarbij hun bloed- of aanverwanten tot en met de vierde graad een persoonlijk of rechtstreeks belang hebben.
§ 3. De leden van het Controleorgaan en haar personeelsleden zijn niet burgerlijk aansprakelijk voor hun beslissingen, handelingen of gedragingen in de uitoefening van de wettelijke opdrachten van de toezichthoudende autoriteit behalve in geval van bedrog of zware fout.
§ 4. De leden van het Controleorgaan zijn tijdens en na de uitoefening van hun respectieve mandaat en contract, tot geheimhouding verplicht ten aanzien van de feiten, handelingen of inlichtingen waarvan zij uit hoofde van hun functie kennis hebben gehad. Iedere schending van het beroepsgeheim wordt gestraft overeenkomstig artikel 458 van het Strafwetboek.
Art. 234. § 1. De leden van het Controleorgaan genieten hetzelfde statuut als de raadsheren van het Rekenhof. De wedderegeling van de raadsheren van het Rekenhof, vervat in de wet van 21 maart 1964 betreffende de wedden van de leden van het Rekenhof, zoals gewijzigd bij de wetten van 14 maart 1975 en 5 augustus 1992, is van toepassing op de leden van het Controleorgaan. Hun reeds verworven geldelijke anciënniteit wordt in aanmerking genomen en zij hebben ook recht op de tussentijdse verhogingen in dit barema.
De leden van de dienst onderzoeken genieten een wedde zoals bepaald in barema A3 van het statuut van de ambtenaren van de Gegevensbeschermingsautoriteit opgericht door de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit. Hun reeds verworven geldelijke anciënniteit wordt in aanmerking genomen en zij hebben ook recht op de tussentijdse verhogingen in dit barema. Zij genieten alle geldelijke voordelen die voorzien zijn in het statuut van de ambtenaren van de Gegevensbeschermingsautoriteit.
De leden van het Controleorgaan en de leden van de dienst onderzoeken genieten de pensioenregeling die van toepassing is op de ambtenaren van het algemeen bestuur. Deze pensioenen zijn ten laste van de Staatskas. Het mandaat van de leden van het Controleorgaan en van de dienst onderzoeken wordt inzake pensioenen gelijkgesteld met een vaste benoeming.
§ 2. De leden van de dienst onderzoeken die lid zijn van de politiediensten kunnen na de beëindiging van hun mandaat in de toezichthoudende autoriteit terugkeren naar hun korps van oorsprong in het statuut dat zij hadden op het moment van hun benoeming in het Controleorgaan. Zij behouden tijdens hun mandaat, in de dienst of het bestuur waaruit zij afkomstig zijn, hun rechten op bevordering en op weddeverhoging. Het personeelslid van de politiediensten dat lid is van de dienst onderzoeken, kandidaat voor een functie bij de politiediensten, en dat voor een betrekking in de politiediensten geschikt wordt bevonden, heeft voorrang op alle andere kandidaten met betrekking tot de toewijzing van de betrekking, zelfs indien deze laatsten over een voorrang beschikken krachtens de wet. Deze voorrang geldt gedurende het laatste jaar van de zes jaren in dienst van het Controleorgaan.
Onder dezelfde voorwaarden wordt een voorrangstermijn van twee jaar toegekend bij de aanvang van het tiende jaar in dienst bij het Controleorgaan.
§ 3. Aan het lid van het Controleorgaan die magistraat in de rechterlijke orde, ambtenaar van het openbaar ambt of lid van de politiediensten is, wordt een verlof voor opdracht van algemeen belang verleend voor de duur van het mandaat. Zij behouden, tijdens hun mandaat in het Controleorgaan of de dienst onderzoeken, in de dienst of het bestuur waaruit zij afkomstig zijn hun rechten op bevordering en op weddeverhoging.
Art. 235. § 1. Het Controleorgaan beschikt over een secretariaat bestaande uit een directie-assistent, een jurist en een informaticus. Deze personeelsleden genieten de hiernavolgende wedde zoals voorzien in het statuut van de ambtenaren van het federaal openbaar ambt :
- Directie-assistent : barema A1
- Jurist : barema A3
- Informaticus : barema A3
Zij worden aangeworven door het Controleorgaan die daarvoor een beroep kan doen op een deskundige in inzake personeelsbeheer.
§ 2. Het secretariaat en zijn personeelsleden staan onder het gezag van de leden van het Controleorgaan en de dagelijkse leiding van de voorzitter van het Controleorgaan.
HOOFDSTUK II. - De opdrachten
Art. 236. § 1. Het Controleorgaan is belast met de opdrachten voorzien in artikel 71, § 1, derde lid, 1° tot 3°.
§ 2. Het Controleorgaan dient van advies, hetzij uit eigen beweging, hetzij op verzoek van de regering of van de Kamer van volksvertegenwoordigers, van een bestuurlijke of gerechtelijke overheid dan wel een politiedienst, omtrent iedere aangelegenheid die betrekking heeft op het politionele informatiebeheer, zoals onder meer bepaald in afdeling 12 van hoofdstuk 4 van de wet van 5 augustus 1992 op het politieambt.
Het Controleorgaan brengt advies uit binnen zestig dagen nadat alle daartoe noodzakelijke gegevens aan de toezichthoudende autoriteit zijn medegedeeld. De adviezen van het Controleorgaan zijn met redenen omkleed. Het Controleorgaan deelt zijn advies aan de betrokken overheid mede.
In de gevallen waar het advies van het Controleorgaan vereist is krachtens een bepaling van deze wet, wordt de termijn bedoeld in het tweede lid in speciaal met redenen omklede dringende gevallen verminderd tot ten minste vijftien dagen.
§ 3. In het kader van de opdracht voorzien in artikel 71, § 1, derde lid, 3°, is het Controleorgaan in het bijzonder belast met de naleving van de regels inzake de mededeling van de informatie en persoonsgegevens uit de politionele gegevensbanken, de rechtstreekse toegang tot de Algemene Nationale gegevensbank en de technische gegevensbanken en de rechtstreekse bevraging ervan, alsook van de naleving van de in artikel 44/7, derde lid, van de wet van 5 augustus 1992 op het politieambt bedoelde verplichting, voor alle leden van de politiediensten, tot voeding van deze gegevensbank.
Art. 237. Het Controleorgaan treedt ambtshalve op, op verzoek van de Gegevensbeschermingsautoriteit bedoeld in artikel 2, 1°, van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, van de gerechtelijke of bestuurlijke overheden, van de minister van Justitie, van de minister van Binnenlandse Zaken, van de minister die de privacy in zijn bevoegdheden heeft of van de Kamer van volksvertegenwoordigers.
Wanneer het Controleorgaan ambtshalve optreedt, brengt het de Kamer van volksvertegenwoordigers daarvan dadelijk op de hoogte.
Wanneer de controle heeft plaatsgevonden binnen een lokale politie, informeert het Controleorgaan daar de burgemeester of het politiecollege van en zendt hem zijn verslag.
Wanneer de controle informatie en persoonsgegevens betreft die verband houden met de uitoefening van opdrachten van gerechtelijke politie, wordt het verslag dat dienaangaande door het Controleorgaan wordt opgesteld, ook aan de bevoegde magistraat van het openbaar ministerie toegezonden.
Art. 238. Het Controleorgaan doet verslag aan de Kamer van volksvertegenwoordigers in de volgende gevallen :
1° jaarlijks, door een algemeen activiteitenverslag dat, indien nodig, algemene conclusies en voorstellen bevat en dat de periode betreft gaande van 1 januari tot 31 december van het voorgaande jaar. Dat verslag wordt uiterlijk op 1 juni overgezonden aan de voorzitter van de Kamer van volksvertegenwoordigers alsmede aan de bevoegde ministers bedoeld in artikel 237, eerste lid;
2° telkens wanneer het dit nuttig acht of op verzoek van de Kamer van volksvertegenwoordigers, door een tussentijds activiteitenverslag met betrekking tot een welbepaald onderzoeksdossier dat, indien nodig, algemene conclusies en voorstellen kan bevatten. Dat verslag wordt overgezonden aan de voorzitter van de Kamer van volksvertegenwoordigers alsmede aan de bevoegde ministers bedoeld in artikel 237, eerste lid;
3° wanneer door de Kamer van volksvertegenwoordigers het een opdracht heeft toevertrouwd;
4° wanneer het vaststelt dat, bij het verstrijken van een termijn die het redelijk acht, geen gevolg werd gegeven aan zijn besluiten of dat de genomen maatregelen niet passend of ontoereikend zijn. Die termijn mag niet minder dan zestig dagen bedragen.
Art. 239. § 1. Het Controleorgaan gaat door middel van onderzoek naar de werking na of de inhoud van de Algemene Nationale gegevensbank, de basisgegevensbanken, de bijzondere gegevensbanken en de technische gegevensbanken, alsook de procedure voor de verwerking van de daarin bewaarde gegevens en informatie overeenkomen met het bepaalde in de artikelen 44/1 tot en met 44/11/13 van de wet van 5 augustus 1992 op het politieambt en met de uitvoeringsmaatregelen ervan.
§ 2. Het Controleorgaan controleert in het bijzonder de regelmatigheid van de volgende verwerkingen in de Algemene Nationale Gegevensbank, de basisgegevensbanken, de bijzondere gegevensbanken en de technische gegevensbanken :
1° de evaluatie van de gegevens en informatie;
2° de registratie van de verzamelde gegevens en informatie;
3° de validatie van de gegevens en informatie door de daartoe bevoegde organen;
4° de vatting van de geregistreerde gegevens en informatie op grond van de concrete aard of van de betrouwbaarheid ervan;
5° de wissing en de archivering van de gegevens en informatie nadat de termijn voor bewaring ervan is verstreken.
§ 3. Het Controleorgaan controleert in het bijzonder de werkelijke aard van de volgende, door de bevoegde politieoverheden voorgeschreven functiemogelijkheden en verwerkingen :
1° de relaties tussen de categorieën van gegevens en informatie geregistreerd op het tijdstip waarop zij zijn gevat;
2° de ontvangst van de gegevens en informatie door de autoriteiten en diensten die krachtens de wet tot raadpleging gemachtigd zijn;
3° de mededeling van de gegevens en de informatie aan de wettelijk gemachtigde autoriteiten en diensten;
4° de verbinding met andere systemen voor informatieverwerking;
5° de bijzondere regels houdende vatting van de gegevens en de informatie op grond van hun adequaat, pertinent en niet overmatig karakter en de concrete betrouwbaarheid ervan.
Art. 240. Het Controleorgaan :
1° maakt het brede publiek beter bekend met en verschaft meer inzicht in de risico's, de regels, de waarborgen en de rechten in verband met verwerking van persoonsgegevens door de diensten voorzien in artikel 26, 7°, a), d), en f);
2° maakt de verwerkingsverantwoordelijken en de verwerkers beter bekend met hun wettelijke verplichtingen in verband met de verwerking van persoonsgegevens;
3° verstrekt desgevraagd informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze wet en, in voorkomend geval, werkt daartoe samen met de toezichthoudende autoriteiten in andere lidstaten. Een verzoek van een andere toezichthoudende autoriteit wordt zonder onnodige vertraging en in ieder geval binnen dertig dagen na de ontvangst ervan beantwoord;
4° behandelt klachten, onderzoekt de inhoud van de klacht in de mate waarin dat nodig is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is. Het Controleorgaan kan besluiten geen gevolg te geven aan een klacht of een aangifte die kennelijk niet gegrond is.
5° stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is, overeenkomstig artikel 35.4 van de Verordening, en houdt deze lijst bij;
6° bevordert de opstelling van gedragscodes uit hoofde van artikel 40.1, van de Verordening, geeft advies en keurt, overeenkomstig artikel 40.5 van de Verordening, gedragscodes goed die voldoende waarborgen leveren;
7° bevordert de invoering van certificeringsmechanismen voor gegevensbescherming en van gegevensbeschermingszegels en -merktekens, en keurt de criteria voor certificering uit hoofde van artikel 42 van de Verordening, goed;
8° waar van toepassing, verricht een periodieke toetsing van de afgegeven certificeringen;
9° zorgt voor het opstellen en het bekendmaken van de criteria voor de accreditatie van een orgaan voor het toezicht op gedragscodes op grond van artikel 41 van de Verordening, en van een certificeringsorgaan op grond van artikel 43 van de Verordening;
10° zorgt voor de accreditatie van een orgaan voor het toezicht op gedragscodes en van een certificeringsorgaan.
Art. 241. Het Controleorgaan kan aan één of meer van haar leden, leden van de dienst onderzoeken of haar personeel de bevoegdheid opdragen om het Controleorgaan te vertegenwoordigen binnen comités of groepen waaraan het als toezichthoudende autoriteit in de politiesector verplicht deelneemt of kiest aan deel te nemen.
Art. 242. Het Controleorgaan kan overgaan tot een breed openbaar onderzoek of een brede openbare raadpleging of tot een meer gericht onderzoek of een meer gerichte raadpleging van de vertegenwoordigers van de politiesector.
Art. 243. § 1. Het Controleorgaan voert de internationale verplichtingen uit die voortvloeien uit de opdrachten en bevoegdheden die deze wet haar toebedeelt. Deze verplichtingen kunnen de samenwerking inhouden van het Controleorgaan met enige instantie of andere gegevensbeschermingsautoriteit van een andere staat door gebruik te maken van de bevoegdheden die haar zijn toegekend krachtens de van toepassing zijnde wetgeving.
Deze samenwerking kan betrekking hebben op :
1° de invoering van deskundigheidspools;
2° de uitwisseling van informatie;
3° de wederzijdse bijstand in het kader van controlemaatregelen;
4° het delen van personele en financiële middelen.
De samenwerking kan bij samenwerkingsakkoorden worden geconcretiseerd.
§ 2. Het Controleorgaan is gemachtigd om in dit verband bepaalde van haar leden, leden van de dienst onderzoeken of personeelsleden aan te wijzen als vertegenwoordigers bij internationale autoriteiten.
HOOFDSTUK III. - Bevoegdheden van het Controleorgaan, van haar leden en van de leden van de dienst onderzoeken
Art. 244. § 1. Het Controleorgaan, zijn leden en de leden van de dienst onderzoeken hebben een onbeperkt recht op toegang tot alle informatie en gegevens verwerkt door de diensten voorzien in artikel 26, 7°, a), d), en f), en in het bijzonder de politiediensten overeenkomstig artikel 44/1 tot 44/11/13 van de wet van 5 augustus 1992 op het politieambt, hierin begrepen deze die bewaard worden in de Algemene Nationale Gegevensbank, in de basisgegevensbanken, in de bijzondere gegevensbanken, in de technische gegevensbanken en in de internationale gegevensbanken die door de Belgische politiediensten worden gevoed.
De politiediensten zenden uit eigen beweging aan het Controleorgaan reglementen en interne richtlijnen over, betreffende de verwerking van persoonsgegevens en de politionele informatie die zij noodzakelijk achten voor het vervullen van zijn opdracht. Het Controleorgaan en de dienst onderzoeken zijn ertoe gerechtigd alle teksten die zij noodzakelijk achten voor het vervullen van hun opdracht te laten overleggen.
Het Controleorgaan, zijn leden of de leden van de dienst onderzoeken kunnen een onderzoek ter plaatse doen. Te dien einde, beschikken zij over een onbeperkt recht op toegang tot de lokalen waarin en gedurende de tijd dat de in het eerste lid bedoelde informatie en gegevens verwerkt worden.
§ 2. Zij kunnen in deze plaatsen alle voorwerpen, documenten en gegevens van een informaticasysteem die nuttig zijn voor hun onderzoek in beslag nemen, behalve indien ze betrekking hebben op een lopend opsporings- of gerechtelijk onderzoek.
Indien de korpschef of zijn plaatsvervanger van oordeel is dat door het beslag een persoon fysiek gevaar kan lopen, wordt de kwestie voorgelegd aan de voorzitter van het Controleorgaan of de magistraat die hem vervangt, die uitspraak doet. De in beslag genomen voorwerpen en documenten worden vermeld in een daartoe speciaal bij te houden register.
§ 3. De leden van het Controleorgaan en de dienst onderzoeken doen, waar ook, alle nuttige vaststellingen.
Het Controleorgaan of zijn leden kunnen, voor het uitoefenen van haar opdrachten, de bijstand vorderen van de openbare macht.
§ 4. Het Controleorgaan, zijn leden of de leden van de dienst onderzoeken kunnen dwingende antwoordtermijnen opleggen aan de leden van de federale of van de lokale politie, waaraan ze vragen richten in de uitvoering van hun opdrachten.
§ 5. Het Controleorgaan heeft, voor de uitoefening van het toezicht dat door deze wet wordt georganiseerd, toegang tot de gegevens van artikel 3, eerste lid, 1° tot 6°, 9° en 9° /1, en tweede lid, van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen.
Met het oog op de uitoefening van dit toezicht kan het Controleorgaan gebruikmaken van het rijksregisternummer.
Art. 245. § 1. Onverminderd de wettelijke bepalingen betreffende de onschendbaarheid en het voorrecht van rechtsmacht, kunnen de leden van het Controleorgaan en van de dienst onderzoeken elke persoon van wie zij het verhoor noodzakelijk achten, uitnodigen om hem te horen. De leden of gewezen leden van de politiediensten zijn gehouden gevolg te geven aan elke schriftelijke oproeping.
De leden of gewezen leden van de politiediensten mogen verklaringen afleggen over feiten die worden gedekt door het beroepsgeheim.
§ 2. De voorzitter van het Controleorgaan kan de leden of gewezen leden van de politiediensten dagvaarden door tussenkomst van een gerechtsdeurwaarder. Deze leden of gewezen leden getuigen na de eed te hebben afgelegd die is bepaald in artikel 934, tweede lid, van het Gerechtelijk Wetboek.
De leden of gewezen leden van de politiediensten maken geheimen waarvan zij kennis dragen, aan het Controleorgaan bekend, behalve indien ze betrekking hebben op een lopend opsporings- of gerechtelijk onderzoek.
Als het lid of gewezen lid van de politiedienst van oordeel is dat hij het geheim waarvan hij kennis draagt, moet bewaren omdat een persoon door de bekendmaking ervan fysiek gevaar zou kunnen lopen, wordt de kwestie voorgelegd aan de voorzitter van het Controleorgaan of de magistraat die hem vervangt, die uitspraak doet.
Als het lid of gewezen lid van de politiedienst van oordeel is dat hij het geheim waarvan hij kennis draagt, moet bewaren, wordt de kwestie voorgelegd aan de Commissaris-generaal of de korpschef in functie van de politiedienst waartoe de betrokkene behoort, die uitspraak doet.
§ 3. Het Controleorgaan kan de medewerking van deskundigen en tolken vorderen. Zij leggen de eed af bedoeld in artikel 290 van het Wetboek van strafvordering. De hen verschuldigde vergoedingen worden uitgekeerd overeenkomstig het tarief van de gerechtskosten in strafzaken.
§ 4. Artikel 9 van de wet van 3 mei 1880 op het parlementair onderzoek is van toepassing op de leden of gewezen leden van de politiediensten die als getuige worden gehoord of gedagvaard door het Controleorgaan en op de deskundigen en tolken die worden gevorderd.
De processen-verbaal die gepleegde inbreuken vaststellen, worden opgesteld door een lid van het Controleorgaan of een lid van de dienst onderzoeken en worden overgezonden aan de procureur des Konings in wiens ambtsgebied ze zijn begaan.
De leden of gewezen leden van de politiediensten die weigeren te getuigen voor het Controleorgaan en die weigeren hun medewerking te verlenen, worden gestraft met een gevangenisstraf van één maand tot twee jaar en een geldboete van honderd euro tot duizend euro of met één van die straffen alleen.
Art. 246. Onverminderd artikel 44/1 van de wet van 5 augustus 1992 op het politieambt, zijn alle diensten van de Staat, met inbegrip van de parketten en de griffies van de hoven en van alle rechtscolleges, de provincies, de gemeenten, de verenigingen waartoe zij behoren, de overheidsinstellingen die ervan afhangen, gehouden aan het Controleorgaan, haar leden of de leden van de dienst onderzoeken, op haar of hun verzoek, alle inlichtingen te geven die laatstgenoemden nuttig acht voor het toezicht op de naleving van de wetgeving waarmee zij belast zijn, alsmede gelijk welke informatiedragers ter inzage over te leggen en kopieën ervan te verstrekken onder gelijk welke vorm.
Indien deze inlichtingen deel uitmaken van een lopend opsporings- of gerechtelijk onderzoek worden ze slechts mits voorafgaande goedkeuring van het bevoegde openbaar ministerie verstrekt.
Art. 247. Het Controleorgaan beslist over de opvolging die het aan een klacht in de zin van artikel 240, eerste lid, 4°, geeft en heeft de bevoegdheid om :
1° te besluiten dat de verwerking is uitgevoerd in overeenstemming met de bepalingen van de reglementering inzake de verwerking van persoonsgegevens;
2° de diensten bedoeld in artikel 26, 7°, a), d) en f), of diens verwerker te waarschuwen dat een voorgenomen verwerking van persoonsgegevens de reglementering inzake de verwerking van persoonsgegevens kan schenden;
3° de diensten bedoeld in artikel 26, 7°, a), d) en f), of diens verwerker te berispen wanneer een verwerking geresulteerd heeft in een schending van een bepaling van de reglementering inzake de verwerking van persoonsgegevens;
4° de diensten bedoeld in artikel 26, 7°, a), d) en f), of diens verwerker te gelasten om een verwerking in overeenstemming te brengen met de bepalingen van de reglementering inzake de verwerking van persoonsgegevens, in voorkomend geval, op een nader bepaalde manier en binnen een nader bepaalde termijn;
5° een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op te leggen;
6° het rectificeren of wissen van persoonsgegevens te gelasten;
7° het dossier over te zenden aan het bevoegde openbaar ministerie, die het informeert van het gevolg dat aan het dossier gegeven wordt;
8° een certificering bedoeld in artikel 240 intrekken of het certificeringsorgaan gelasten een afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven;
9° de diensten bedoeld in artikel 26, 7°, a), d) en f), of diens verwerker te gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen.
Art. 248. § 1. Het Controleorgaan stelt de partijen in kennis van haar beslissing en van de mogelijkheid om beroep aan te tekenen binnen een termijn van dertig dagen vanaf de kennisgeving van de beslissing, bij het Hof van Beroep van de woonplaats of de zetel van de eiser.
Behoudens de uitzonderingen die de wet bepaalt of tenzij het Controleorgaan bij met bijzondere redenen omklede beslissing anders beveelt is de beslissing uitvoerbaar bij voorraad, zulks niettegenstaande hoger beroep.
§ 2. Tegen de beslissingen van het Controleorgaan op grond van de artikel 247, 1°, 3°, 4°, 5°, 6°, 8° of 9° staat beroep open bij het Hof van Beroep van de woonplaats of de zetel van de eiser, die de zaak behandelt zoals in kort geding overeenkomstig de artikelen 1035 tot 1038, 1040 en 1041 van het Gerechtelijk Wetboek.
Art. 249. Het Controleorgaan informeert de dienst bedoeld in artikel 26, 7°, a), d) en f), van de uitgevoerde onderzoeken naar de verwerking van persoonsgegevens van diens verwerkers en hun resultaten.
Wanneer het er kennis van neemt, informeert het Controleorgaan eveneens de diensten voorzien in artikel 26, 7°, a), d) en f), van de schendingen van de reglementering inzake de verwerking van persoonsgegevens door andere verwerkingsverantwoordelijken.
Art. 250. Uiterlijk twee weken na ontvangst van het verzoek brengt het Controleorgaan ten behoeve van de bevoegde overheid, een omstandig advies uit over de aanwijzing, de bevordering, de benoeming of de mutatie van de personeelseden van de politiediensten belast met het beheer van de Algemene Nationale Gegevensbank.
Binnen de maand na ontvangst van het verzoek brengt het Controleorgaan ten behoeve van de bevoegde minister, een omstandig advies uit over de wenselijkheid van een tuchtrechtelijke procedure ten aanzien van het hoofd van de dienst die de Algemene Nationale Gegevensbank beheert, of ten aanzien van zijn adjunct.
HOOFDSTUK IV. - Financiering
Art. 251. Voor de werking van het Controleorgaan wordt een dotatie uitgetrokken op de algemene uitgavenbegroting van het Rijk.
Het Controleorgaan stelt jaarlijks een ontwerp van begroting op voor zijn werking. Bijgestaan door het Rekenhof, onderzoekt de Kamer van volksvertegenwoordigers de gedetailleerde begrotingsvoorstellen van het Controleorgaan, keurt ze goed en controleert de uitvoering van zijn begroting, onderzoekt en keurt daarenboven de gedetailleerde rekeningen goed.
Het Controleorgaan voegt bij haar jaarlijks begrotingsvoorstel een strategisch plan.
Het Controleorgaan hanteert voor zijn begroting en rekeningen een schema van de begroting en rekeningen dat vergelijkbaar is met het schema van de Kamer van volksvertegenwoordigers.
TITEL 8. - Slotbepalingen
Art. 252. In geval van verwerking van persoonsgegevens voor meerdere doeleinden, door eenzelfde verwerkingsverantwoordelijke of verwerker, of bedoeld in verschillende regelgevingen, zijn deze verschillende regelgevingen tegelijkertijd van toepassing. In geval van conflict tussen sommige van hun bepalingen, worden de regels van deze wet toegepast.
HOOFDSTUK I. - Wijzigingsbepalingen
Art. 253. De bestaande wetten, koninklijke besluiten en elke andere reglementering die verwijzen naar de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, worden geacht te verwijzen naar deze wet of desgevallend de Verordening.
De Koning kan de verwijzingen in bestaande wetten en koninklijke besluiten naar de bepalingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en naar de Commissie voor de bescherming van de persoonlijke levenssfeer, door verwijzingen naar de ermee overeenstemmende bepalingen in deze wet en de Verordening en naar de bevoegde toezichthoudende autoriteit.
Art. 254. In hoofdstuk 6, afdeling 2, van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit wordt een artikel 56/1 ingevoegd luidende :
"Art. 56/1. In uitvoering van artikel 51 van de Verordening 2016/679 en overeenkomstig artikel 41.4 van de Richtlijn 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad, vertegenwoordigt de Gegevensbeschermingsautoriteit de verschillende toezichtautoriteiten in het Europees Comité voor gegevensbescherming bedoeld in artikel 68 van de Verordening 2016/679.".
Art. 255. In artikel 108, § 1, eerste lid, van dezelfde wet worden de woorden "de betekening van" opgeheven.
Art. 256. In de artikelen 3, 31 en 35 van de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse, worden de woorden "Algemene Dienst Inlichtingen en Veiligheid" telkens vervangen door de woorden "Algemene Dienst Inlichting en Veiligheid".
Art. 257. In de Franse tekst van het opschrift van Hoofdstuk III en de afdelingen 1 en 2 van hetzelfde hoofdstuk, in het opschrift van hoofdstuk IV evenals in de artikelen 2, 3, eerste lid, 2°, 28, 33, 38, 39, 40, 48, 53 en 65 van dezelfde wet worden de woorden "services de renseignements" telkens vervangen door de woorden "services de renseignement".
In de Franse tekst van de artikelen 28, 40, 41, 48, 50, 61 en 67 worden de woorden "service de renseignements" telkens vervangen door de woorden "service de renseignement".
In de Franse tekst van de artikelen 41 en 44 worden de woorden "des services de police ou de renseignements" telkens vervangen door de woorden "des services de police ou de renseignement".
In de Franse tekst van het artikel 44 worden de woorden "d'un service de police ou de renseignements" vervangen door de woorden "d'un service de police ou de renseignement".
In de Franse tekst van het artikel 53 worden de woorden "des missions de renseignements" vervangen door de woorden "des missions de renseignement".
Art. 258. Artikel 3, eerste lid, van dezelfde wet, laatstelijk gewijzigd bij de wet van 6 december 2015, wordt aangevuld met de bepalingen onder 7° en 8°, luidende :
"7° "de gegevensbeschermingswet" : de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens;
8° "een gegevensbeschermingsautoriteit" : een autoriteit die toezicht houdt op verwerkingen van persoonsgegevens.".
Art. 259. In artikel 28 van dezelfde wet, laatstelijk gewijzigd bij de wet van 21 april 2016, worden de volgende wijzigingen aangebracht :
1° in het derde lid, 5°, worden de woorden "de inlichtingen," worden ingevoegd tussen de woorden "domein van" en "het strafrecht";
2° in het derde lid, 5°, worden de woorden "het recht van de bescherming van persoonsgegevens" worden ingevoegd tussen de woorden "het publiek recht," en de woorden "of technieken inzake management";
3° het vierde lid wordt aangevuld met de woorden ", noch van een andere gegevensbeschermingsautoriteit, noch van de bestuurlijke commissie belast met het toezicht op de specifieke en uitzonderlijke methoden voor het verzamelen van gegevens door de inlichtingen- en veiligheidsdiensten".
Art. 260. In artikel 29, eerste lid, van dezelfde wet, laatstelijk gewijzigd bij de wet van 21 april 2016, wordt de bepaling onder 8° aangevuld met de woorden ", veiligheidsattesten en veiligheidsadviezen".
Art. 261. In artikel 31, eerste lid, 4°, van dezelfde wet, ingevoegd bij de wet van 30 november 1998, worden de woorden ", alsook voor de organisatie en het bestuur van de Veiligheid van de Staat wanneer die organisatie en dat bestuur een rechtstreekse invloed hebben op de uitvoering van de opdrachten inzake de handhaving van de openbare orde en de persoonsbescherming" opgeheven.
Art. 262. In artikel 32 van dezelfde wet, laatstelijk gewijzigd bij de wet van 6 januari 2014, worden de volgende wijzigingen aangebracht :
1° in het eerste lid wordt het woord "of" vervangen door",";
2° het eerste lid wordt aangevuld met de woorden "of op vraag van een andere gegevensbeschermingsautoriteit";
3° in het tweede lid worden de woorden "in het kader van de activiteiten en methodes bedoeld in artikel 33, eerste lid" ingevoegd tussen de woorden "beweging optreedt" en ", brengt het".
Art. 263. In artikel 33 van dezelfde wet, laatstelijk gewijzigd bij de wet van 6 januari 2014, worden de volgende wijzigingen aangebracht :
1° tussen het eerste en tweede lid wordt een lid ingevoegd, luidende :
"Het Vast Comité I onderzoekt eveneens de verwerkingen van persoonsgegevens door de inlichtingendiensten en hun verwerkers.";
2° in het vierde lid, dat het vijfde lid wordt, wordt het woord "of" vervangen door ",";
3° in het vierde lid, dat het vijfde lid wordt, worden de woorden "of de verwerkingen van persoonsgegevens" ingevoegd tussen de woorden "de werkwijzen" en de woorden "die de".
4° in het zevende lid, dat het achtste lid wordt, worden de woorden "Het Vast Comité I mag enkel" vervangen door de woorden "Behalve als de wet zijn advies oplegt, mag het Vast Comité I enkel".
Art. 264. In artikel 34 van dezelfde wet, vervangen bij de wet van 10 juli 2006, worden de volgende wijzigingen aangebracht :
1° tussen het eerste en tweede lid wordt een lid ingevoegd, luidende :
"Het Vast Comité I behandelt eveneens de verzoeken met betrekking tot de verwerkingen van persoonsgegevens door de inlichtingendiensten en hun verwerkers.";
2° in het derde lid, dat het vierde lid wordt, wordt het woord "of" wordt vervangen door ",";
3° in het derde lid, dat het vierde lid wordt, worden de woorden "of een verzoek" worden ingevoegd tussen de woorden "een aangifte" en de woorden "die kennelijk";
4° in het vierde lid, dat het vijfde lid wordt, wordt het woord "of" wordt vervangen door ",";
5° in het vierde lid, dat het vijfde lid wordt, worden de woorden "of een verzoek" worden ingevoegd tussen de woorden "klacht, aangifte" en de woorden "en om het";
6° in het vierde lid, dat het vijfde lid wordt, worden de woorden "of het verzoek" worden ingevoegd tussen de woorden "die de klacht" en de woorden "heeft ingediend";
7° het vijfde lid, dat het zesde lid wordt, wordt aangevuld met de woorden :
"behalve voor onderzoeken met betrekking tot de verwerking van persoonsgegevens door de inlichtingendiensten en hun verwerkers, waar het Vast Comité I enkel antwoordt dat de nodige verificaties werden verricht".
Art. 265. Artikel 35 van dezelfde wet wordt aangevuld met een paragraaf 3, luidende :
" § 3. Het Vast Comité I brengt jaarlijks verslag uit bij de Kamer van volksvertegenwoordigers omtrent de gegeven adviezen in zijn hoedanigheid van gegevensbeschermingsautoriteit, omtrent de onderzoeken die werden uitgevoerd en de maatregelen die werden genomen in dezelfde hoedanigheid alsook omtrent haar samenwerking met de andere gegevensbeschermingsautoriteiten. Een kopij van dit verslag wordt eveneens gericht aan de bevoegde ministers, alsook aan de Veiligheid van de Staat en aan de Algemene Dienst Inlichting en Veiligheid, die over de mogelijkheid beschikken om het Vast Comité I attent te maken op hun bemerkingen.".
Art. 266. In artikel 38, tweede lid, van dezelfde wet, ingevoegd bij de wet van 10 juli 2006, wordt het woord "Vast" ingevoegd tussen de woorden "het" en "Comité".
Art. 267. In artikel 40, tweede lid, van dezelfde wet, gewijzigd bij de wet van 10 juli 2006 worden de volgende wijzigingen aangebracht :
1° de woorden "de klachten en aangiften" worden vervangen door de woorden "de klachten, aangiften en verzoeken";
2° in de Franse tekst worden de woorden "ce d'appui" opgeheven;
3° de woorden "of handelingen" worden vervangen door de woorden ", handelingen of verwerkingen van persoonsgegevens".
Art. 268. In artikel 44 van dezelfde wet wordt het tweede lid aangevuld met de woorden :
"of in het verwerken van persoonsgegevens of in de informatieveiligheid.".
Art. 269. Artikel 45, tweede lid, van dezelfde wet, ingevoegd bij de wet van 1 april 1999, wordt aangevuld met de woorden ", veiligheidsattesten en veiligheidsadviezen".
Art. 270. In artikel 46 van dezelfde wet worden de volgende wijzigingen aangebracht :
1° de woorden "buiten de gevallen bepaald in artikel 13/1 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten en die bepaald in de artikelen 226, 227 en 230 van de gegevensbeschermingswet" worden ingevoegd tussen de woorden "een wanbedrijf" en de woorden ", maakt hij";
2° het artikel wordt aangevuld met een lid, luidende :
"Wanneer een lid van de Dienst Enquêtes I kennis heeft van een wanbedrijf zoals bedoeld in de artikelen 226, 227 en 230 van de gegevensbeschermingswet, informeert hij zo snel mogelijk het Vast Comité I hierover. Deze laatste verzekert de opvolging volgens de nadere regels bepaald in artikel 54.".
Art. 271. In hoofdstuk III van dezelfde wet wordt een afdeling 4 ingevoegd, luidende "Bevoegdheden van het Vast Comité I als gegevensbeschermingsautoriteit".
Art. 272. In afdeling 4, ingevoegd bij artikel 271, wordt een artikel 51/1 ingevoegd, luidende :
"Art. 51/1. In zijn hoedanigheid van gegevensbeschermingsautoriteit treedt het Vast Comité I ofwel op uit eigen beweging, ofwel op verzoek van een andere gegevensbeschermingsautoriteit, ofwel op verzoek van elke betrokkene.".
Art. 273. In dezelfde afdeling 4 wordt een artikel 51/2 ingevoegd, luidende :
"Art. 51/2. Om ontvankelijk te zijn, is het verzoek geschreven, gedateerd, ondertekend en met redenen omkleed en rechtvaardigt het de identiteit van de betrokkene rechtvaardigen.".
Art. 274. In dezelfde afdeling 4 wordt een artikel 51/3 ingevoegd, luidende :
"Art. 51/3. Het Vast Comité I beslist over de opvolging die het aan het dossier geeft en heeft de bevoegdheid om :
1° te besluiten dat de verwerking is uitgevoerd in overeenstemming met de bepalingen van de reglementering inzake de verwerking van persoonsgegevens;
2° de betrokken dienst of diens verwerker te waarschuwen dat een voorgenomen verwerking van persoonsgegevens de reglementering inzake de verwerking van persoonsgegevens kan schenden;
3° de betrokken dienst of diens verwerker te berispen wanneer een verwerking geresulteerd heeft in een schending van een bepaling van de reglementering inzake de verwerking van persoonsgegevens;
4° de betrokken dienst of diens verwerker te gelasten om een verwerking in overeenstemming te brengen met de bepalingen van de reglementering inzake de verwerking van persoonsgegevens, in voorkomend geval, op een nader bepaalde manier en binnen een nader bepaalde termijn;
5° een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op te leggen;
6° het rectificeren of wissen van persoonsgegevens te gelasten;
7° het dossier over te zenden aan de procureur des Konings van Brussel, die het informeert van het gevolg dat aan het dossier gegeven wordt.".
Art. 275. In dezelfde afdeling 4 wordt een artikel 51/4 ingevoegd, luidende :
"Art. 51/4. Het Vast Comité I informeert de betrokken dienst van de uitgevoerde onderzoeken naar de verwerking van persoonsgegevens van diens verwerkers en hun resultaten.
Wanneer het er kennis van neemt, informeert het Vast Comité I eveneens de betrokken dienst van de schendingen van de reglementering inzake de verwerking van persoonsgegevens door andere verwerkingsverantwoordelijken.".
Art. 276. In artikel 4, § 2, van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, worden de volgende wijzigingen aangebracht :
1° Het tweede lid wordt vervangen als volgt :
"De Gegevensbeschermingsautoriteit is de bevoegde toezichthoudende autoriteit wanneer geen andere wet anders bepaalt.";
2° tussen het tweede en het derde lid wordt een lid ingevoegd, luidende :
"Onverminderd deze wet en de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, kan bij geen enkele andere wet een autoriteit worden opgericht die beschikt over de macht en de bevoegdheden die bij de Verordening aan een gegevensbeschermingsautoriteit worden toegekend.".
Art. 277. Artikel 18 van dezelfde wet wordt aangevuld met een tweede lid, luidende :
"De beslissing om op te treden in rechte namens de Gegevensbeschermingsautoriteit wordt genomen door het directiecomité.".
Art. 278. In hoofdstuk 5, afdeling 1, van dezelfde wet wordt een artikel 54/1 ingevoegd, luidende :
"Art. 54/1. § 1. Met het oog op de consequente toepassing van de nationale, Europese en internationale regelgeving inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens werken de Gegevensbeschermingsautoriteit en de bevoegde toezichthoudende autoriteiten bedoeld in de titels 2 en 3 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens nauw samen, onder meer voor wat betreft de verwerking van klachten, adviezen en aanbevelingen die raken aan de bevoegdheden van twee of meerdere toezichthoudende autoriteiten.
Onverminderd bijzondere bepalingen, gebeurt de gezamenlijke behandeling van klachten, adviezen en aanbevelingen aan de hand van het één loket principe dat zal worden waargenomen door de Gegevensbeschermingsautoriteit.
§ 2. Teneinde de in paragraaf 1 beoogde samenwerking te verwezenlijken sluiten de toezichthoudende autoriteiten een samenwerkingsprotocol af.".
Art. 279. In artikel 111 van dezelfde wet wordt het tweede lid vervangen als volgt :
"Een toetreding tot een bij een beraadslaging van een sectoraal comité verleende algemene machtiging blijft mogelijk mits diegene die om toetreding verzoekt een geschreven en ondertekende verbintenisverklaring bezorgt aan hetzij het Sectoraal comité van het Rijksregister hetzij het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid of, eens de wet een einde heeft gesteld aan deze comités, aan het orgaan dat door de wetgever wordt opgericht om beraadslagingen te verlenen met betrekking tot de uitwisseling van persoonsgegevens of het gebruik van het Rijksregisternummer, waarin hij bevestigt zich aan te sluiten bij de voorwaarden van de desbetreffende beraadslaging en dit onverminderd de controlebevoegdheden die de Gegevensbeschermingsautoriteit kan uitoefenen. De toetredingen tot de algemene machtigingen worden bekend gemaakt op de website van het orgaan dat belast is met de ontvangst ervan.".
HOOFDSTUK II. - Opheffingsbepalingen
Art. 280. De wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens wordt opgeheven.
Het koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens wordt opgeheven.
Het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt opgeheven.
Artikel 15, § 3, van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens wordt opgeheven.
HOOFDSTUK III. - Inwerkingtreding en overgangsbepalingen
Art. 281. Deze wet treedt in werking de dag waarop ze in het Belgisch Staatsblad wordt bekendgemaakt.
In afwijking van het eerste lid treedt artikel 20 in werking op de eerste dag van de maand die volgt op het verstrijken van een termijn van zes maanden die ingaat de dag na de bekendmaking van deze wet in het Belgisch Staatsblad.
Art. 282. De wettelijke verplichtingen zoals vastgelegd in de Verordening en in deze wet doen geen afbreuk aan de rechtsgeldigheid van de persoonsgegevensverwerkingen die de verwerkingsverantwoordelijke of de verwerker heeft verricht vóór de inwerkingtreding van voormelde verplichtingen.
Art. 283. De internationale overeenkomsten betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties die zijn gesloten vóór 6 mei 2016 en die in overeenstemming zijn met de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens en het vóór die datum van toepassing zijnde recht van de Europese Unie, blijven van kracht totdat zij worden gewijzigd, vervangen of herroepen.
Art. 284. In afwijking van artikel 281, worden de systemen voor geautomatiseerde verwerkingssystemen die vóór 6 mei 2016 door de bevoegde autoriteiten bedoeld in titel 2 werden opgezet, uiterlijk op 6 mei 2023 in overeenstemming gebracht met artikel 56, § 1.
Art. 285. § 1. In afwijking van artikel 281, blijven de leden van het Controleorgaan die de eed hebben afgelegd, en daadwerkelijk in functie zijn op het moment van de inwerkingtreding van deze wet en die benoemd werden overeenkomstig artikel 36ter/1 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, van rechtswege aangesteld overeenkomstig de paragrafen 2, 3 en 4 als lid van het Controleorgaan of als lid van de dienst onderzoeken in de zin van deze wet tot op het einde van hun sedert 1 september 2015 lopende mandaat van zes jaar.
Zij worden vanaf de inwerkingtreding van deze wet en voor de duur van hun voormeld mandaat geacht van rechtswege te voldoen aan de artikelen 231 en 232 van deze wet.
§ 2. De huidige leden worden van rechtswege aangesteld als lid van het Controleorgaan of van de dienst onderzoeken overeenkomstig de nieuwe benoemingsvereisten zoals voorzien door deze wet en overeenkomstig de paragrafen 3 en 4.
§ 3. De voorzitter van het Controleorgaan blijft van rechtswege aangesteld als voorzitter van het Controleorgaan in de zin van deze wet.
Het lid van de Commissie voor de bescherming van de persoonlijke levenssfeer wordt van rechtswege aangesteld als het lid van het Controleorgaan afkomstig uit het openbaar ministerie in de zin van deze wet en de huidige nederlandstalige expert-jurist wordt van rechtswege in de hoedanigheid van expert in de zin van deze wet aangesteld als lid van het Controleorgaan.
§ 4. De drie huidige andere leden, waarvan twee afkomstig uit de politiediensten en één franstalige expert niet-jurist worden van rechtswege aangesteld als leden van de dienst onderzoeken in de zin van deze wet in hun respectievelijke hoedanigheid van lid van de politiediensten en van expert.
§ 5. In afwijking van artikel 231, § 1, van deze wet kan het lid van het Controleorgaan, dat benoemd werd in zijn hoedanigheid van lid van de Commissie voor de bescherming van de persoonlijke levenssfeer, vanaf de inwerkingtreding van deze wet tot het einde van zijn sedert 1 september 2015 lopende mandaat, zijn functie hetzij voltijds, hetzij deeltijds blijven uitoefenen. Bij een deeltijdse uitoefening van de functie geniet hij van een wedde gelijk aan 20 % van de wedde voorzien voor de andere leden zoals vermeld in artikel 234.
Art. 286. Deze wet wordt aan een gezamenlijke evaluatie onderworpen door de minister bevoegd voor Sociale Zaken, de minister bevoegd voor Volksgezondheid, de minister bevoegd voor Justitie, de minister bevoegd voor Binnenlandse Zaken, de minister bevoegd voor Defensie, onder leiding van de minister bevoegd voor Privacy, in het derde jaar na de inwerkingtreding ervan.
De evaluatie bedoeld in het eerste lid heeft onder meer betrekking op :
1° de impact van de aanwijzing van meerdere toezichthoudende autoriteiten op de rechten van de betrokkenen.
Voor de evaluatie van dit punt wordt onder meer rekening gehouden met de werking van het één-loket systeem.
2° de impact van de aanwijzing van meerdere toezichthoudende autoriteiten op de stroom van informatie en persoonsgegevens.
Voor de evaluatie van dit punt wordt onder meer rekening gehouden met :
- de efficiëntie van de samenwerking tussen de toezichthoudende autoriteiten;
- de coherentie van hun beslissingen, adviezen en aanbevelingen; en
- de impact van hun werking op het evenwicht tussen de belangen die de stromen vertegenwoordigen enerzijds en het respect voor de rechten van de betrokkenen anderzijds.
3° de lijst van de bevoegde overheden bedoeld in het artikel 26, 7°.
Voor de evaluatie van dit punt wordt onder meer rekening gehouden met :
- de voorafgaande adviezen alsook de gepubliceerde jaarverslagen van de verschillende bevoegde toezichthoudende autoriteiten bedoeld in deze wet;
- de resultaten van de evaluaties bedoeld in het artikel 97, § 1, van de Verordening, het artikel 62, § 6, van de Richtlijn en, desgevallend, het artikel 62, § 1, van de Richtlijn;
- de adviezen en aanbevelingen van het Europees Comité voor gegevensbescherming.
De minister bevoegd voor Privacy stelt de uitkomst van de evaluatie voor aan de Kamer van volksvertegenwoordigers.
Kondigen deze wet af, bevelen dat zij met 's Lands zegel zal worden bekleed en door het Belgisch Staatsblad zal worden bekendgemaakt.
Gegeven te l'Ile-Yeu, 30 juli 2018.
FILIP
Van Koningswege :
De Minister van Sociale Zaken en Volksgezondheid,
M. DE BLOCK
Voor de Minister van Justitie, afwezig :
De Vice-Eerste Minister van Werk, Economie en Consumenten,
belast met Buitenlandse Handel,
K. PEETERS
De Vice-Eerste Minister bevoegd voor Binnenlandse Zaken,
J. JAMBON
De Minister van Defensie,
S. VANDEPUT
Met 's Lands zegel gezegeld :
De Minister van Justitie,
K. GEENS
_______
Nota
Kamer van volksvertegenwoordigers :
Stukken :
Doc 54 3126/ (2017/2018) :
001 : Wetsontwerp.
002 : Amendementen.
003 : Verslag van de eerste lezing.
004 : Artikelen aangenomen in eerste lezing.
005 : Amendementen.
006 : Verslag van de tweede lezing.
007 : Tekst aangenomen door de commissie.
008 : Tekst aangenomen in plenaire vergadering en aan de Koning ter bekrachtiging voorgelegd.
Zie ook :
Integraal verslag : 18 en 19 juli 2018.