Artikel 24 - Verantwoordelijkheid van de verwerkingsverantwoordelijke
- 1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
- 2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
- 3. Het aansluiten bij goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.
Relevante overwegingen
- 74. De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.
- 75. Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personenkan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.
- 76. De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico.
- 77. Richtsnoeren voor de tenuitvoerlegging van passende maatregelen, en om aan te tonen dat de verwerkingsverantwoordelijke of de verwerker de regels naleeft, vooral wat betreft de vaststelling van het risico in verband met de verwerking, de beoordeling van de oorsprong, aard, waarschijnlijkheid en ernst daarvan, en de bepaling van beste praktijken om het risico te verminderen, kunnen met name worden verstrekt door middel van goedgekeurde gedragscodes, goedgekeurde certificeringen, richtsnoeren van het Comité of aanwijzingen van een functionaris voor gegevensbescherming. Het Comité kan tevens richtsnoeren uitvaardigen met betrekking tot verwerkingen die waarschijnlijk niet zullen resulteren in een hoog risico voor de rechten en vrijheden van natuurlijke personen, en aangeven met welke maatregelen in dat geval kan worden volstaan om dat risico aan te pakken.
Jurisprudentie Hof van Justitie van de EU
| Zaak-nr. | Arrest |
|---|---|
| C-687/21 |
BL tegen MediaMarktSaturn Hagen-Iserlohn GmbH Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Uitlegging van de artikelen 5, 24, 32 en 82 – Beoordeling van de geldigheid van artikel 82 – Niet-ontvankelijkheid van het verzoek tot beoordeling van de geldigheid – Recht op vergoeding van schade veroorzaakt door de verwerking van persoonsgegevens in strijd met deze verordening – Doorgeven van gegevens aan een niet-bevoegde derde ten gevolge van een door werknemers van de verwerkingsverantwoordelijke begane vergissing – Beoordeling of de door de verwerkingsverantwoordelijke getroffen beschermingsmaatregelen passend zijn – Compensatoire functie van het recht op schadevergoeding – Impact van de ernst van de inbreuk – Noodzaak om aan te tonen dat de genoemde inbreuk schade heeft veroorzaakt – Begrip,immateriële schade’ |
| C-340/21 |
VB tegen Natsionalna agentsia za prihodite Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 5 – Beginselen inzake deze verwerking – Artikel 24 – Verantwoordelijkheid van de verwerkingsverantwoordelijke – Artikel 32 – Maatregelen die worden getroffen om de beveiliging van de verwerking te waarborgen – Beoordeling of dergelijke maatregelen passend zijn – Omvang van de rechterlijke toetsing – Bewijsvoering – Artikel 82 – Recht op schadevergoeding en aansprakelijkheid – Mogelijke vrijstelling van de verwerkingsverantwoordelijke van aansprakelijkheid in geval van inbreuk door derden – Vordering tot vergoeding van immateriële schade op grond van de vrees voor mogelijk misbruik van persoonsgegevens |
| C-129/21 |
Proximus NV tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58/EG – Artikel 12 – Openbare telefoongidsen en telefooninlichtingendiensten – Toestemming van de abonnee – Verplichtingen van de aanbieder van abonneelijsten en inlichtingendiensten – Verordening (EU) 2016/679 – Artikel 17 – Recht op gegevenswissing (‚recht op vergetelheid’) – Artikel 5, lid 2 – Artikel 24 – Informatieverplichtingen en verantwoordelijkheid van de verwerkingsverantwoordelijke |
| Bepaling | Arrest(en) |
|---|---|
| Artikel 24 |
BL tegen MediaMarktSaturn Hagen-Iserlohn GmbH Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Uitlegging van de artikelen 5, 24, 32 en 82 – Beoordeling van de geldigheid van artikel 82 – Niet-ontvankelijkheid van het verzoek tot beoordeling van de geldigheid – Recht op vergoeding van schade veroorzaakt door de verwerking van persoonsgegevens in strijd met deze verordening – Doorgeven van gegevens aan een niet-bevoegde derde ten gevolge van een door werknemers van de verwerkingsverantwoordelijke begane vergissing – Beoordeling of de door de verwerkingsverantwoordelijke getroffen beschermingsmaatregelen passend zijn – Compensatoire functie van het recht op schadevergoeding – Impact van de ernst van de inbreuk – Noodzaak om aan te tonen dat de genoemde inbreuk schade heeft veroorzaakt – Begrip,immateriële schade’
VB tegen Natsionalna agentsia za prihodite Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 5 – Beginselen inzake deze verwerking – Artikel 24 – Verantwoordelijkheid van de verwerkingsverantwoordelijke – Artikel 32 – Maatregelen die worden getroffen om de beveiliging van de verwerking te waarborgen – Beoordeling of dergelijke maatregelen passend zijn – Omvang van de rechterlijke toetsing – Bewijsvoering – Artikel 82 – Recht op schadevergoeding en aansprakelijkheid – Mogelijke vrijstelling van de verwerkingsverantwoordelijke van aansprakelijkheid in geval van inbreuk door derden – Vordering tot vergoeding van immateriële schade op grond van de vrees voor mogelijk misbruik van persoonsgegevens
Proximus NV tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58/EG – Artikel 12 – Openbare telefoongidsen en telefooninlichtingendiensten – Toestemming van de abonnee – Verplichtingen van de aanbieder van abonneelijsten en inlichtingendiensten – Verordening (EU) 2016/679 – Artikel 17 – Recht op gegevenswissing (‚recht op vergetelheid’) – Artikel 5, lid 2 – Artikel 24 – Informatieverplichtingen en verantwoordelijkheid van de verwerkingsverantwoordelijke |
Sanctie-besluiten en EDPB-richtsnoeren
Er zijn geen documenten gevonden bij deze bepaling.
- Inhoudsopgave
- Tekst van artikel 24
- Relevante overwegingen 4
- Arresten Hof van Justitie 3
- Besluiten en richtsnoeren
- Bijdragen?