Artikel 2 - Materieel toepassingsgebied
- 1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
-
2.
Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:
- a) in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
- b) door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen;
- c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;
- d) door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.
- 3. Op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie is Verordening (EG) nr. 45/2001 van toepassing. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens worden overeenkomstig artikel 98 aan de beginselen en regels van de onderhavige verordening aangepast.
- 4. Deze verordening laat de toepassing van Richtlijn 2000/31/EG, en met name van de regels in de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van als tussenpersoon optredende dienstverleners onverlet.
Relevante overwegingen
- 13. Teneinde natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, is een verordening nodig om marktdeelnemers, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijke personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. Voor de goede werking van de interne markt is het nodig dat het vrije verkeer van persoonsgegevens in de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft. Voorts worden de instellingen, organen en instanties van de Unie, en de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen. De definitie van het begrip kleine, middelgrote en micro-ondernemingen dient te worden overgenomen uit artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de CommissieAanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (C(2003) 1422) (PB L 124 van 20.5.2003, blz. 36)..
- 14. De bescherming die door deze verordening wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.
- 15. Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen.
- 16. Deze verordening is niet van toepassing op vraagstukken met betrekking tot de bescherming van de grondrechten en de fundamentele vrijheden of het vrije verkeer van persoonsgegevens in verband met niet onder het Unierecht vallende activiteiten, zoals activiteiten betreffende nationale veiligheid. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens die de lidstaten verrichten bij activiteiten in verband met het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie.
- 17. Verordening (EG) nr. 45/2001 van het Europees Parlement en de RaadVerordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1). is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens, moeten aan de beginselen en regels van de onderhavige verordening worden aangepast en in het licht van de onderhavige verordening worden toegepast. Om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen, moet Verordening (EG) nr. 45/2001 waar nodig worden aangepast zodra de onderhavige verordening is vastgesteld, opdat deze op hetzelfde tijdstip als de onderhavige verordening van toepassing kan worden.
- 18. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.
- 19. De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifiek rechtshandeling van de Unie. Deze verordening mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig deze verordening door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de RaadRichtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (zie bladzijde 89 van dit Publicatieblad).. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van deze verordening valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt.
- 20. Hoewel de onderhavige verordening onder meer van toepassing is op de activiteiten van gerechten en andere rechterlijke autoriteiten, zouden in het Unierecht of het lidstatelijke recht de verwerkingen en verwerkingsprocedures met betrekking tot het verwerken van persoonsgegevens door gerechten en andere rechterlijke autoriteiten nader kunnen worden gespecificeerd. De competentie van de toezichthoudende autoriteiten mag zich niet uitstrekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun gerechtelijke taken, zulks teneinde de onafhankelijkheid van de rechterlijke macht bij de uitoefening van haar rechterlijke taken, waaronder besluitvorming, te waarborgen. Het toezicht op die gegevensverwerkingen moet kunnen worden toevertrouwd aan specifieke instanties binnen de rechterlijke organisatie van de lidstaat, die met name de naleving van de regels van deze verordening moeten garanderen, leden van de rechterlijke macht van hun verplichtingen krachtens deze verordening sterker bewust moeten maken, en klachten met betrekking tot die gegevensverwerkingen moeten behandelen.
- 21. Deze verordening doet geen afbreuk aan de toepassing van Richtlijn 2000/31/EG van het Europees Parlement en de RaadRichtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (Richtlijn inzake elektronische handel) (PB L 178 van 17.7.2000, blz. 1)., inzonderheid de regels inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn. Met die richtlijn wordt beoogd bij te dragen tot het beter functioneren van de interne markt door het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarborgen.
- 27. De onderhavige verordening is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.
Jurisprudentie Hof van Justitie van de EU
| Zaak-nr. | Arrest |
|---|---|
| C-33/22 |
Österreichische Datenschutzbehörde tegen WK Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Artikel 16 VWEU – Verordening (EU) 2016/679 – Artikel 2, lid 2, onder a) – Werkingssfeer – Daarvan uitgesloten – Activiteiten die buiten de werkingssfeer van het Unierecht vallen – Artikel 4, lid 2, VEU – Activiteiten betreffende de nationale veiligheid – Enquêtecommissie die door het parlement van een lidstaat is ingesteld – Artikel 23, lid 1, onder a) en h), en artikelen 51 en 55 van verordening (EU) 2016/679 – Competentie van de voor gegevensbescherming bevoegde toezichthoudende autoriteit – Artikel 77 – Recht om een klacht in te dienen bij een toezichthoudende autoriteit – Rechtstreekse werking |
| C-306/21 |
Komisia za zashtita na lichnite danni en Tsentralna izbiratelna komisia tegen Koalitsia „Demokratichna Bulgaria - Obedinenie” Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Werkingssfeer – Artikel 2, lid 2, onder a) – Begrip ,activiteiten die buiten de werkingssfeer van het Unierecht vallen’ – Nationale en Europese verkiezingen – Artikel 6, lid 1, onder e) – Rechtmatigheid van de verwerking – Artikel 58 – Handeling van de toezichthoudende autoriteiten waarbij de mogelijkheid om het tellen van de stemmen in de stembureaus op video vast te leggen wordt beperkt of, in voorkomend geval, uitgesloten |
| C-817/19 |
Ligue des droits humains ASBL tegen Ministerraad Prejudiciële verwijzing – Verwerking van persoonsgegevens – Persoonsgegevens van passagiers (PNR) – Verordening (EU) 2016/679 – Artikel 2, lid 2, onder d) – Werkingssfeer – Richtlijn (EU) 2016/681 – Gebruik van PNR-gegevens van passagiers van vluchten tussen de Europese Unie en derde landen – Mogelijkheid om ook gegevens van passagiers van vluchten binnen de Unie te gebruiken – Geautomatiseerde verwerking van deze gegevens – Bewaartermijn – Bestrijding van terroristische misdrijven en ernstige criminaliteit – Geldigheid – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 21 en artikel 52, lid 1 – Nationale wetgeving die het PNR-systeem bij uitbreiding toepast op andere soorten vervoer binnen de Unie – Vrijheid van verkeer binnen de Unie – Handvest van de grondrechten – Artikel 45 |
| C-311/18 |
Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten |
| Bepaling | Arrest(en) |
|---|---|
| Artikel 2, lid 1 |
Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten |
| Artikel 2, lid 2 |
Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten |
| Artikel 2, lid 2, sub a |
Österreichische Datenschutzbehörde tegen WK Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Artikel 16 VWEU – Verordening (EU) 2016/679 – Artikel 2, lid 2, onder a) – Werkingssfeer – Daarvan uitgesloten – Activiteiten die buiten de werkingssfeer van het Unierecht vallen – Artikel 4, lid 2, VEU – Activiteiten betreffende de nationale veiligheid – Enquêtecommissie die door het parlement van een lidstaat is ingesteld – Artikel 23, lid 1, onder a) en h), en artikelen 51 en 55 van verordening (EU) 2016/679 – Competentie van de voor gegevensbescherming bevoegde toezichthoudende autoriteit – Artikel 77 – Recht om een klacht in te dienen bij een toezichthoudende autoriteit – Rechtstreekse werking
Komisia za zashtita na lichnite danni en Tsentralna izbiratelna komisia tegen Koalitsia „Demokratichna Bulgaria - Obedinenie” Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Werkingssfeer – Artikel 2, lid 2, onder a) – Begrip ,activiteiten die buiten de werkingssfeer van het Unierecht vallen’ – Nationale en Europese verkiezingen – Artikel 6, lid 1, onder e) – Rechtmatigheid van de verwerking – Artikel 58 – Handeling van de toezichthoudende autoriteiten waarbij de mogelijkheid om het tellen van de stemmen in de stembureaus op video vast te leggen wordt beperkt of, in voorkomend geval, uitgesloten |
| Artikel 2, lid 2, sub d |
Ligue des droits humains ASBL tegen Ministerraad Prejudiciële verwijzing – Verwerking van persoonsgegevens – Persoonsgegevens van passagiers (PNR) – Verordening (EU) 2016/679 – Artikel 2, lid 2, onder d) – Werkingssfeer – Richtlijn (EU) 2016/681 – Gebruik van PNR-gegevens van passagiers van vluchten tussen de Europese Unie en derde landen – Mogelijkheid om ook gegevens van passagiers van vluchten binnen de Unie te gebruiken – Geautomatiseerde verwerking van deze gegevens – Bewaartermijn – Bestrijding van terroristische misdrijven en ernstige criminaliteit – Geldigheid – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 21 en artikel 52, lid 1 – Nationale wetgeving die het PNR-systeem bij uitbreiding toepast op andere soorten vervoer binnen de Unie – Vrijheid van verkeer binnen de Unie – Handvest van de grondrechten – Artikel 45 |
Sanctie-besluiten en EDPB-richtsnoeren
| Datum publicatie | Document |
|---|---|
| 5 juni 2024 |
Boete Ambitious People Group verwijderverzoeken Privacyrechten AVG; Uitzendbureau; Sollicitaties - De Autoriteit Persoonsgegevens (AP) heeft recruitmentbedrijf Ambitious People Group (APG) een boete opgelegd van 6. 000 euro. APG krijgt deze boete omdat het bedrijf de gegevens van 3 verschillende mensen niet had verwijderd nadat zij dat hadden gevraagd. Lees verder: Boete voor recruitmentbedrijf om negeren verwijderverzoeken 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den Haag T…. |
| 13 april 2023 |
Boete Sociale Verzekeringsbank Uitkering en sociale zekerheid; Beveiliging van persoonsgegevens; Datalekken - De Autoriteit Persoonsgegevens (AP) heeft de Sociale Verzekeringsbank (SVB) een boete opgelegd van 150. 000 euro. De SVK krijgt de boete vanwege gebrekkige identiteitscontrole door de telefonische helpdesk. Cliënten met een AOW-uitkering liepen hierdoor het risico dat gevoelige informatie terecht zou komen bij personen die daar geen recht op hebben. Lees verder: Boete voor SVB na gebrekkige…. |
| 21 december 2022 |
Boete mobiele camera-auto's Rotterdam Cameratoezicht op openbare plaatsen; Politie, bijzondere opsporing en justitie; Gemeenten - De Autoriteit Persoonsgegevens (AP) heeft een boete van 50. 000 euro opgelegd aan de politie. Tijdens corona zijn in Rotterdam camera-auto’s ingezet, zonder dat hiervan eerst de privacyrisico’s in kaart waren gebracht. Met de rondrijdende auto’s zijn gedetailleerde beelden van mensen verzameld en opgeslagen. Lees verder: Boete voor ontbreken risicoanalyse camera-auto’s Rotterdam. Openbare…. |
| 22 juli 2021 |
Boete TikTok recht op informatie Smartphone & apps; Privacyrechten AVG; Persoonsgegevens op internet; Internationale samenwerking - De Autoriteit Persoonsgegevens legt TikTok een boete van 750. 000 euro op. TikTok krijgt de boete voor het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers – veelal jonge kinderen – van TikTok kregen bij het installeren en gebruiken van de app, was in het Engels en daardoor niet goed te begrijpen. Door de privacyverklaring niet in het Nederlands aan…. |
- Inhoudsopgave
- Tekst van artikel 2
- Relevante overwegingen 10
- Arresten Hof van Justitie 4
- Besluiten en richtsnoeren 4
- Bijdragen?