
				Meer info

30/07/18 GDPR-wet
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

Titel 1 De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

Hoofdstuk I Algemene bepaling

Artikel 6

Onverminderd bijzondere bepalingen, geeft deze titel uitvoering aan de Verordening.

Hoofdstuk II Beginselen van verwerking

Artikel 7

In uitvoering van artikel 8.1 van de Verordening is de verwerking van de persoonsgegevens van een kind met betrekking tot een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, rechtmatig indien de toestemming verleend wordt door kinderen van 13 jaar of ouder.

Wanneer deze verwerking betrekking heeft op de persoonsgegevens van een kind jonger dan 13 jaar, is die slechts rechtmatig indien de toestemming wordt verleend door de wettelijke vertegenwoordiger van dit kind.

Artikel 8

§ 1

In uitvoering van artikel 9.2.g) van de Verordening worden de hieronder vermelde verwerkingen beschouwd als noodzakelijke verwerkingen om redenen van zwaarwegend algemeen belang:

1°: de verwerking door verenigingen met rechtspersoonlijkheid of stichtingen die als statutair hoofddoel de verdediging en de bevordering van de rechten van de mens en van de fundamentele vrijheden hebben, verricht voor de verwezenlijking van dat doel, op voorwaarde dat voor de verwerking een machtiging is verleend door de Koning bij een besluit vastgesteld na overleg in de Ministerraad, na advies van de bevoegde toezichthoudende autoriteit. De Koning kan nadere regels bepalen voor die verwerking;
2°: de verwerking beheerd door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen” voor de ontvangst, de overzending aan de gerechtelijke overheid en de opvolging van gegevens betreffende personen die ervan verdacht worden in een bepaald dossier van vermissing of seksuele uitbuiting, een misdaad of wanbedrijf te hebben begaan;
3°: de verwerking van persoonsgegevens die het seksuele leven betreffen, verricht door een vereniging met rechtspersoonlijkheid of door een stichting met als statutair hoofddoel de evaluatie, de begeleiding en de behandeling van personen van wie het seksueel gedrag gekwalificeerd kan worden als een misdrijf en die voor de verwezenlijking van dat doel door de bevoegde overheid worden erkend en gesubsidieerd. Voor dergelijke verwerkingen, waarvan de bedoeling moet bestaan in de evaluatie, begeleiding en behandeling van de in deze paragraaf bedoelde personen en de verwerking uitsluitend persoonsgegevens betreft die, wanneer ze het seksueel leven betreffen, enkel betrekking hebben op laatstgenoemde personen, moet door de Koning bij een in een Ministerraad overlegd besluit, na advies van de bevoegde toezichthoudende autoriteit, een bijzondere, individuele machtiging worden verleend.

Het in het eerste lid, 3°, bedoelde besluit verduidelijkt de duur van de machtiging, de nadere regels voor de gegevensverwerking, de nadere regels voor de controle van de vereniging of stichting door de bevoegde overheid en de wijze waarop door deze overheid aan de bevoegde toezichthoudende autoriteit verslag uitbrengt over de verwerking van persoonsgegevens in het kader van de verleende machtiging.

Behoudens bijzondere wettelijke bepalingen is de verwerking van genetische en biometrische gegevens door deze verenigingen en stichtingen, met als doel het op een unieke wijze identificeren van een fysieke persoon, verboden.

§ 2

De verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker stellen een lijst op van de categorieën van personen die toegang hebben tot de persoonsgegevens, met een beschrijving van hun hoedanigheid ten opzichte van de verwerking van de beoogde gegevens. Deze lijst wordt ter beschikking gehouden van de bevoegde toezichthoudende autoriteit.

De verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling, ertoe gehouden zijn het vertrouwelijke karakter van de betrokken gegevens in acht te nemen.

§ 3

De stichting bedoeld in paragraaf 1, eerste lid, 2°, kan geen bestand houden betreffende personen die ervan verdacht worden een misdaad of wanbedrijf te hebben begaan of van veroordeelde personen. Zij wijst een functionaris voor gegevensbescherming aan.

Artikel 9

In uitvoering van artikel 9.4 van de Verordening neemt de verwerkingsverantwoordelijke, bij de verwerking van genetische, biometrische of gezondheidsgegevens, bovendien de volgende maatregelen:

1°: hij of, in voorkomend geval, de verwerker wijst de categorieën van personen die toegang hebben tot de persoonsgegevens, aan waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig wordt omschreven;
2°: hij of, in voorkomend geval, de verwerker houdt de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de bevoegde toezichthoudende autoriteit;
3°: hij zorgt ervoor dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen.

Artikel 10

§ 1

In uitvoering van artikel 10 van de Verordening wordt de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafrechtelijke inbreuken of daarmee verband houdende veiligheidsmaatregelen uitgevoerd:

1°: door natuurlijke personen of door privaatrechtelijke of publiekrechtelijke rechtspersonen voor zover dat noodzakelijk is voor het beheer van hun eigen geschillen; of
2°: door advocaten of andere juridische raadgevers in zoverre de verdediging van de belangen van hun cliënten dit vereist; of
3°: door andere personen, indien de verwerking noodzakelijk is voor redenen van zwaarwegend algemeen belang voor het vervullen van taken van algemeen belang die door of krachtens een wet, een decreet, een ordonnantie of het recht van de Europese Unie zijn vastgesteld; of
4°: voor zover de verwerking noodzakelijk is voor wetenschappelijk, historisch of statistisch onderzoek of met het oog op archivering; of
5°: indien de betrokkene uitdrukkelijke schriftelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden en de verwerking tot die doeleinden blijft beperkt; of
6°: indien de verwerking betrekking heeft op de persoonsgegevens die kennelijk door de betrokkene op eigen initiatief openbaar zijn gemaakt voor een of meer welbepaalde doeleinden en de verwerking tot die doeleinden blijft beperkt.

§ 2

Artikel 10/1

§ 1

In toepassing van artikel 125, § 1, 1°, van de wet van 13 juni 2005 betreffende de elektronische communicatie en onverminderd de toepassing van de Verordening en deze wet, is de registratie van elektronische communicatie en de daarmee verband houdende verkeersgegevens uitgevoerd in het legale zakelijke verkeer ten bewijze van een commerciële transactie of van een andere zakelijke communicatie toegestaan, op voorwaarde dat de bij de communicatie betrokken partijen vóór de registratie op de hoogte gebracht worden van de registratie, de precieze doeleinden ervan en de duur van de opslag van de registratie.

De in het eerste lid bedoelde gegevens worden gewist uiterlijk op het einde van de periode waarbinnen de transactie in rechte kan worden aangevochten.

§ 2

In toepassing van artikel 125, § 1, 1°, van de wet van 13 juni 2005 betreffende de elektronische communicatie en onverminderd de toepassing van de Verordening en deze wet is het kennisnemen en registreren van elektronische communicatie en de verkeersgegevens met als enig doel de kwaliteit van de dienstverlening in callcenters te controleren, toegestaan, op voorwaarde dat de personen die werkzaam zijn in het callcenter op voorhand op de hoogte gebracht worden van de mogelijkheid tot kennisnemen en registreren, het precieze doel ervan en de duur van bewaring van de geregistreerde communicatie en gegevens. Die gegevens mogen ten hoogste gedurende één maand worden bewaard.

Artikel 10/2

In toepassing van artikel 125, § 1, 1°, van de wet van 13 juni 2005 betreffende de elektronische communicatie en onverminderd de toepassing van de Verordening en deze wet is de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker slechts toegestaan op voorwaarde dat:

1°: de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de Verordening en in deze wet, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de Verordening en van deze wet;
2°: de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepaling onder 1°.

Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is.

Hoofdstuk III Beperkingen op de rechten van de betrokkene

Artikel 11

§ 1

In toepassing van artikel 23 van de Verordening, zijn de artikelen 12 tot 22 en 34 van de Verordening alsook het principe van transparantie van de verwerking bedoeld in artikel 5 van de Verordening, niet van toepassing op verwerkingen van persoonsgegevens rechtstreeks of onrechtstreeks afkomstig van de overheden bedoeld in titel 3, ten aanzien van:

1°: de overheden en personen bedoeld in artikelen 14, 16 en 19 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten naar wie deze gegevens rechtstreeks of onrechtstreeks werden overgebracht door de overheden bedoeld in titel 3;
2°: de overheden en personen bedoeld in artikel 2, eerste lid, 2°, van de wet van 10 juli 2006 betreffende de analyse van de dreiging en [in de artikelen 16 en 23, van de wet van 29 maart 2024 tot oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”) en tot wijziging van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, de wet van 30 juli 2018 tot oprichting van lokale integrale veiligheidscellen inzake radicalisme, extremisme en terrorisme en de wet van 5 augustus 1992 op het politieambt], en die onder het toepassingsgebied van titel 1 vallen, en aan wie deze gegevens werden overgemaakt.

§ 2

De verwerkingsverantwoordelijke bedoeld in deze titel die in het bezit is van zulke gegevens deelt deze niet mee aan de betrokkene tenzij:

1°: de wet hem hiertoe verplicht in het kader van een geschillenprocedure; of
2°: de betrokken overheid bedoeld in titel 3 hem dit toestaat.

De verwerkingsverantwoordelijke of de bevoegde overheid deelt niet mee dat hij in het bezit is van gegevens die van overheden bedoeld in titel 3 afkomstig zijn.

§ 3

De beperkingen bedoeld in paragraaf 1 hebben eveneens betrekking op de logbestanden van de verwerkingen van een overheid bedoeld in titel 3 in de gegevensbanken van de verwerkingsverantwoordelijken bedoeld in deze titel waartoe de overheid rechtstreeks toegang heeft.

§ 4

De verwerkingsverantwoordelijke bedoeld in deze titel die gegevens verwerkt die rechtstreeks of onrechtstreeks afkomstig zijn van de overheden bedoeld in titel 3 beantwoordt minstens aan de volgende voorwaarden:

1°: hij neemt de gepaste technische of organisatorische maatregelen om ervoor te zorgen dat de toegang tot de gegevens en de verwerkingsmogelijkheden beperkt zijn tot hetgeen de personen nodig hebben om hun functies uit te oefenen of tot hetgeen nodig is voor de behoeften van de dienst;
2°: hij neemt de gepaste technische of organisatorische maatregelen om de persoonsgegevens te beschermen tegen toevallige of niet-toegestane vernietiging, tegen toevallig verlies en tegen wijziging of elke andere niet-toegestane verwerking van die gegevens.

De leden van het personeel van de verwerkingsverantwoordelijke die de gegevens bedoeld in het eerste lid verwerken, zijn bovendien gebonden door de discretieplicht.

§ 5

Wanneer een verzoek of een klacht aanhangig wordt gemaakt bij de toezichthoudende autoriteit bedoeld in de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, waarbij de verwerkingsverantwoordelijke melding maakt van de toepassing van dit artikel, wendt de toezichthoudende autoriteit eerste zich tot het Vast Comité I opdat het de nodige verificaties verricht bij de autoriteit bedoeld in titel 3.

Na ontvangst van het antwoord van het Vast Comité I, brengt de Gegevensbeschermingsautoriteit de betrokkene enkel op de hoogte van de resultaten van de verificatie die betrekking hebben op persoonsgegevens die niet van de autoriteiten bedoeld in titel 3 afkomstig zijn, die de toezichthoudende autoriteit wettelijk gehouden is mee te delen.

Indien het verzoek of de klacht enkel betrekking heeft op persoonsgegevens afkomstig van een autoriteit bedoeld in titel 3, antwoordt de Gegevensbeschermingsautoriteit, na ontvangst van het antwoord van het Vast Comité I, dat de nodige verificaties werden verricht.

Artikel 12

In toepassing van artikel 23 van de Verordening, is een verwerkingsverantwoordelijke die persoonsgegevens meedeelt aan een overheid bedoeld in ondertitels 2 en 4 van titel 3 van deze wet niet onderworpen aan de artikelen 14.1.e en 15.1.c van de Verordening en aan artikel 20, § 1, 6°, van deze wet en mag de betrokkene niet van deze overdracht op de hoogte brengen.

Artikel 13

Wanneer een overheid bedoeld in ondertitels 1 en 6 van titel 3 over een rechtstreekse toegang of over een rechtstreekse bevraging van een gegevensbank van de openbare of private sector beschikt, worden zijn verwerkingen van persoonsgegevens in deze gegevensbank beschermd door technische, organisatorische en individuele beveiligingsmaatregelen zodat alleen de volgende actoren toegang kunnen hebben tot de inhoud van deze verwerkingen om hun wettelijke toezichtsopdrachten uit te voeren:

1°: de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke van de gegevensbank;
2°: de functionaris voor gegevensbescherming van de overheid bedoeld in de ondertitels 1 en 6 van titel 3;
3°: de verwerkingsverantwoordelijke van de gegevensbank of zijn gemachtigde;
4°: de verwerkingsverantwoordelijke van de overheid bedoeld in de ondertitels 1 en 6 van titel 3;
5°: elke andere persoon bepaald in een protocol tussen de verwerkingsverantwoordelijken voor zover de toegang past in de uitvoering van de wettelijke toezichtsopdrachten van de functionarissen voor gegevensbescherming en de verwerkingsverantwoordelijken.

De in het eerste lid vermelde beveiligingsmaatregelen zijn bedoeld om de wettelijke verplichtingen met betrekking tot de bescherming van bronnen, de bescherming van de identiteit van de agenten of de discretie van de onderzoeken van de overheden bedoeld in ondertitels 1 en 6 van titel 3 te beschermen. Zij worden ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.

Deze verwerkingen mogen enkel toegankelijk zijn voor andere doeleinden dan deze die verband houden met het toezicht indien deze doeleinden vastgelegd zijn in een protocolakkoord door de betrokken verwerkingsverantwoordelijken binnen de doeleinden voorzien door of krachtens een wet.

Het protocolakkoord duidt de persoon of personen aan waarvoor de toegang tot de logbestanden noodzakelijk is ter vervulling van elke doeleinde toegelaten in het derde lid.

De logbestanden en de in het eerste lid vermelde beveiligingsmaatregelen worden ter beschikking gesteld van het Vast Comité I.

De betrokken overheid bedoeld in titel 3 kan afwijken van het eerste lid wanneer de toegang tot zijn verwerkingen in een gegevensbank en de logbestanden geen afbreuk kan doen aan de belangen bedoeld in het tweede lid.

Artikel 14

§ 1

In toepassing van artikel 23 van de Verordening zijn de in de artikelen 12 tot 22 en 34 van de Verordening bedoelde rechten en het principe van transparantie van de verwerking bedoeld in artikel 5 van de Verordening niet van toepassing op de verwerkingen van gegevens die rechtstreeks of onrechtstreeks afkomstig zijn van de gerechtelijke overheden, de politiediensten, de algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene administratie van douane en accijnzen en de Passagiersinformatie-eenheid als bedoeld in titel 2, ten aanzien van:

1°: de overheden, in de zin van artikel 5 van deze wet, aan wie de gegevens door de politiediensten werden bezorgd door of krachtens een wet, een decreet of een ordonnantie;
2°: andere instanties en organen waaraan de gegevens werden bezorgd door of krachtens een wet, een decreet of een ordonnantie.

§ 2

De verwerkingsverantwoordelijke bedoeld in deze titel die in het bezit is van gegevens bedoeld in paragraaf 1 deelt deze niet mee aan de betrokkene tenzij:

1°: de wet hem hiertoe verplicht in het kader van een geschillenprocedure; of
2°: de gerechtelijke overheden, de politiediensten, de Algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene administratie van douane en accijnzen en de Passagiersinformatie-eenheid als bedoeld in paragraaf 1, elk voor de gegevens die hen betreffen, hem dit toestaan.

De verwerkingsverantwoordelijke of de bevoegde overheid deelt niet mee dat hij in het bezit is van gegevens die van hen afkomstig zijn.

§ 3

De beperkingen bedoeld in paragraaf 1 hebben eveneens betrekking op de logbestanden van de verwerkingen van de gerechtelijke overheden, de politiediensten, de algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene administratie van douane en accijnzen en de Passagiersinformatie-eenheid in de gegevensbanken van de verwerkingsverantwoordelijken bedoeld in deze titel waartoe deze rechstreeks toegang hebben.

Deze beperkingen zijn slechts van toepassing op de gegevens die aanvankelijk verwerkt werden voor de doeleinden bedoeld in artikel 27 van deze wet.

§ 4

De wettelijke waarborgen bedoeld in artikel 23.2 van de Verordening waaraan de overheden, organen of instellingen moeten beantwoorden, worden door of krachtens de wet bepaald.

De overheden, organen of instellingen die de gegevens verwerken die rechtstreeks of onrechtstreeks afkomstig zijn van de gerechtelijke overheden, de politiediensten, de algemene inspectie van de federale politie en de lokale politie, de Cel voor Financiële Informatieverwerking, de Algemene administratie van douane en accijnzen en de Passagiersinformatie-eenheid, beantwoorden minstens aan de volgende voorwaarden:

1°: ze nemen de gepaste technische of organisatorische maatregelen om ervoor te zorgen dat de toegang tot de gegevens en de verwerkingsmogelijkheden beperkt zijn tot hetgeen de personen nodig hebben om hun functies uit te oefenen of tot hetgeen nodig is voor de behoeften van de dienst;
2°: ze nemen de gepaste technische of organisatorische maatregelen om de persoonsgegevens te beschermen tegen toevallige of niet-toegestane vernietiging, tegen toevallig verlies en tegen wijziging of elke andere niet-toegestane verwerking van die gegevens.

De leden van de overheden, organen of instellingen die de gegevens bedoeld in § 1 verwerken, zijn bovendien gebonden door de discretieplicht.

§ 5

Elk verzoek dat betrekking heeft op de uitoefening van de rechten bedoeld in de artikelen 12 tot 22 van de Verordening en dat gericht is aan een overheid, orgaan en organisme vermeld in § 1, 1° en 2°, wordt zo snel mogelijk aan de Gegevensbeschermingsautoriteit bedoeld in de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit bezorgd.

Wanneer de Gegevensbeschermingsautoriteit rechtstreeks gevat wordt door de betrokkene of door de verwerkingsverantwoordelijke die melding maakt van de toepassing van dit artikel, verricht ze de nodige verificaties bij de betrokken overheden, organen of organismes.

Wanneer de Gegevensbeschermingsautoriteit gevat werd door de betrokkene, informeert ze de betrokkene volgens de vastgelegde wettelijke nadere regels.

§ 6

Wanneer de verwerking betrekking heeft op gegevens die aanvankelijk verwerkt werden door de politiediensten of de Algemene Inspectie van de federale politie en de lokale politie, richt de Gegevensbeschermingsautoriteit die rechtstreeks gevat wordt door de betrokkene of de verwerkingsverantwoordelijke die melding maakt van de toepassing van dit artikel, zich tot de toezichthoudende autoriteit bedoeld in artikel 71 opdat deze de nodige verificaties bij de bevoegde overheden, organen of instellingen verricht.

Wanneer de Gegevensbeschermingsautoriteit gevat werd door de betrokkene, na ontvangst van het antwoord van de autoriteit bedoeld in artikel 71, informeert de Gegevensbeschermingsautoriteit de betrokkene volgens de vastgelegde wettelijke nadere regels.

§ 7

Wanneer de verwerking betrekking heeft op gegevens die aanvankelijk verwerkt werden door de gerechtelijke overheden, richt de Gegevensbeschermingsautoriteit die rechtstreeks gevat wordt door de betrokkene of de verwerkingsverantwoordelijke die melding maakt van de toepassing van dit artikel, zich tot de toezichthoudende autoriteit die bevoegd is voor de gerechtelijke overheden opdat deze de nodige verificaties bij de bevoegde overheden, organen of instellingen, bedoeld in § 1, 1° en 2°, verricht.

Wanneer de Gegevensbeschermingsautoriteit gevat werd door de betrokkene, na ontvangst van het antwoord van de toezichthoudende autoriteit die bevoegd is voor de gerechtelijke overheden, informeert de Gegevensbeschermingsautoriteit de betrokkene volgens de vastgelegde wettelijke nadere regels.

Artikel 15

In toepassing van artikel 23 van de Verordening, zijn de artikelen 12 tot 22 en 34 van de Verordening, evenals het principe van transparantie van de verwerking bedoeld in artikel 5 van de Verordening, niet van toepassing op de verwerkingen van persoonsgegevens door de Passagiersinformatie-eenheid zoals bedoeld in hoofdstuk 7 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens.

De verwerkingsverantwoordelijke deelt de gegevens bedoeld in het eerste lid niet mee aan de betrokkene tenzij de wet hem hiertoe verplicht in het kader van een geschillenprocedure.

De verwerkingsverantwoordelijke doet geen enkele melding aan de betrokkene dat hij in het bezit is van gegevens die betrekking hebben op hem.

De beperkingen bedoeld in het eerste lid hebben eveneens betrekking op de logbestanden van de verwerkingen door de Passagiersinformatie-eenheid, in de gegevensbanken van de verwerkingsverantwoordelijken bedoeld in deze titel.

Wanneer een verzoek of een klacht aanhangig wordt gemaakt bij de bevoegde toezichthoudende autoriteit waarbij de verwerkingsverantwoordelijke zich beroept op de toepassing van dit artikel, antwoordt de toezichthoudende autoriteit alleen dat de nodige verificaties zijn verricht.

Artikel 16

Wanneer de persoonsgegevens in een rechterlijke beslissing of een gerechtelijk dossier zijn opgenomen of in het kader van strafrechtelijke onderzoeken en procedures worden verwerkt, worden de rechten bedoeld in de artikelen 12 tot 22 en 34 van de Verordening uitgeoefend overeenkomstig het Gerechtelijk Wetboek, het Wetboek van strafvordering, de bijzondere wetten die betrekking hebben op de strafrechtspleging en de uitvoeringsbesluiten ervan.

Artikel 17

In toepassing van artikel 23 van de Verordening, mag een verwerkingsverantwoordelijke bedoeld in deze titel die persoonsgegevens meedeelt aan een gezamenlijke gegevensbank de betrokkene niet van deze overdracht op de hoogte brengen.

Onder “gezamenlijke gegevensbank” wordt het gemeenschappelijk uitoefenen van de opdrachten uitgevoerd in het kader van titel 1 en de titels 2 of 3 door meerdere overheden, gestructureerd met behulp van geautomatiseerde procedés en toegepast op persoonsgegevens, bedoeld.

Hoofdstuk IV Verwerkingsverantwoordelijke en verwerker

Afdeling 1 Algemene bepaling

Artikel 18

In uitvoering van artikel 43 van de Verordening worden de certificeringsorganen geaccrediteerd, overeenkomstig de norm EN-ISO/IEC 17065 en de aanvullende eisen die door de bevoegde toezichthoudende autoriteit zijn vastgesteld, door de nationale accreditatie-instantie die is aangewezen in overeenstemming met Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93.

Afdeling 2 Publieke sector

Artikel 19

Deze afdeling is van toepassing op de politiediensten in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus, die als een overheid worden beschouwd.

Artikel 20

§ 1

Tenzij anders bepaald in bijzondere wetten, in uitvoering van artikel 6.2 van de Verordening formaliseert de federale overheid, wanneer zij op basis van artikel 6.1.c) en e), van de Verordening persoonsgegevens doorgeeft aan enig andere overheid of privéorgaan, voor elke type van verwerking deze doorgifte aan de hand van een protocol dat tot stand komt tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens.

Dit protocol kan in het bijzonder voorzien in:

1°: de identificatie van de federale overheid die de persoonsgegevens doorgeeft alsook die van de ontvanger;
2°: de identificatie van de verwerkingsverantwoordelijke binnen de overheid die de gegevens doorgeeft alsook van de bestemmeling;
3°: de contactgegevens van de functionarissen voor gegevensbescherming binnen de overheid die de gegevens doorgeeft alsook van de bestemmeling;
4°: de doeleinden waarvoor de persoonsgegevens worden doorgegeven;
5°: de categorieën van doorgegeven persoonsgegevens en hun formaat;
6°: de categorieën van ontvangers;
7°: de wettelijke grondslag van de doorgifte;
8°: de nadere regels inzake gehanteerde communicatie;
9°: elke specifieke maatregel die de doorgifte omkadert conform het proportionaliteitsbeginsel en de vereisten inzake gegevensbescherming door ontwerp en door standaardinstellingen;
10°: de toepasselijke wettelijke beperkingen met betrekking tot de rechten van de betrokkene;
11°: de nadere regels inzake de rechten van de betrokkene bij de ontvanger;
12°: de periodiciteit van de doorgifte;
13°: de duur van het protocol;
14°: de sancties die van toepassing zijn in geval van niet naleving van het protocol onverminderd titel 6.

§ 2

Het protocol wordt afgesloten na de respectievelijke adviezen van de functionaris voor gegevensbescherming van de federale overheid die houder is van de persoonsgegevens en van de bestemmeling. Deze adviezen worden toegevoegd aan het protocol. Wanneer ten minste een van deze adviezen niet gevolgd wordt door de verwerkingsverantwoordelijken vermeldt het protocol, in zijn inleidende bepalingen, de reden of redenen volgens dewelke het advies of de adviezen niet werden gevolgd.

§ 3

Het protocol wordt openbaar gemaakt op de website van de betrokken verwerkingsverantwoordelijken.

Artikel 21

In uitvoering van artikel 37.4 van de Verordening wijst een privéorgaan dat persoonsgegevens verwerkt voor rekening van een federale overheid, of waaraan een federale overheid persoonsgegevens doorgeeft, een functionaris voor gegevensbescherming aan indien de verwerking van deze gegevens een hoog risico kan inhouden zoals bedoeld in artikel 35 van de Verordening.

Artikel 22

Indien de verwerking van persoonsgegevens een hoog risico kan inhouden zoals bedoeld in artikel 35 van de Verordening vraagt de federale overheid voorafgaand aan de verwerking het advies van de functionaris voor gegevensbescherming.

Wanneer de federale overheid doorgaat met de uitvoering van deze verwerking tegen het advies en de aanbevelingen van de functionaris voor gegevensbescherming in, dan omkleedt hij zijn beslissing met redenen.

De motivering geeft de redenen aan voor het niet volgen van het advies of de aanbevelingen.

Artikel 23

In uitvoering van artikel 35.10 van de Verordening wordt een specifieke gegevensbeschermingseffectbeoordeling verricht vóór de verwerkingsactiviteit, ook al werd reeds een algemene gegevensbeschermingseffectbeoordeling uitgevoerd in het kader van de vaststelling van de wettelijke grondslag.

Hoofdstuk V Verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen

Artikel 24

§ 1

Onder verwerking van persoonsgegevens voor journalistieke doeleinden wordt verstaan de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt.

§ 2

De artikelen 7 tot 10, 11.2, 13 tot 16, 18 tot 20 en 21.1 van de Verordening zijn niet van toepassing op verwerkingen van persoonsgegevens voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

§ 3

De artikelen 30.4, 31, 33 en 36 van de Verordening zijn niet van toepassing op de verwerkingen voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen wanneer door de toepassing ervan een voorgenomen publicatie in het gedrang wordt gebracht of het een controlemaatregel voorafgaandelijk aan de publicatie van een artikel zou uitmaken.

§ 4

De artikelen 44 tot 50 van de Verordening zijn niet van toepassing op doorgiften van persoonsgegevens verricht voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen aan derde landen of internationale organisaties in de mate dat het nodig is om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie.

§ 5

Artikel 58 van de Verordening is niet van toepassing op verwerkingen van persoonsgegevens voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen wanneer de toepassing ervan aanwijzingen zou verschaffen over de bronnen van informatie of een controlemaatregel voorafgaandelijk aan de publicatie van een artikel zou uitmaken.

30/07/18 GDPR-wetWet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens