Artikel 4 - Definities
Voor de toepassing van deze verordening wordt verstaan onder:
-
1) „
persoonsgegevens
”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene
”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; -
2) „
verwerking
”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; -
3) „
beperken van de verwerking
”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken; -
4) „
profilering
”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen; -
5) „
pseudonimisering
”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld; -
6) „
bestand
”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid; -
7) „
verwerkingsverantwoordelijke
”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; -
8) „
verwerker
”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; -
9) „
ontvanger
”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijkpersoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn; -
10) „
derde
”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken; -
11) „
toestemming
”van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt; -
12) „
inbreuk in verband met persoonsgegevens
”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens; -
13) „
genetische gegevens
”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon; -
14) „
biometrische gegevens
”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens; -
15) „
gegevens over gezondheid
”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven; -
16) „
hoofdvestiging
”:- a) met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;
- b) met betrekking tot een verwerker die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten;
-
17) „
vertegenwoordiger
”: een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening; -
18) „
onderneming
”: een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen; -
19) „
concern
”: een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend; -
20) „
bindende bedrijfsvoorschriften
”: beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen; -
21) „
toezichthoudende autoriteit
”: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie; -
22) „
betrokken toezichthoudende autoriteit
”: een toezichthoudende autoriteit die betrokken is bij de verwerking van persoonsgegevens omdat:- a) de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd;
- b) de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of
- c) bij die toezichthoudende autoriteit een klacht is ingediend;
-
23) „
grensoverschrijdende verwerking
”:- a) verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of
- b) verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden;
-
24) „
relevant en gemotiveerd bezwaar
”: een bezwaar tegen een ontwerpbesluit over het bestaan van een inbreuk op deze verordening of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening, waarin duidelijk de omvang wordt aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie; -
25) „
dienst van de informatiemaatschappij
”: een dienst als gedefinieerd in artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad [Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).]; -
26) „
internationale organisatie
”: een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.
Relevante overwegingen
- 15. Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen.
- 24. De verwerking van persoonsgegevens van betrokkenen in de Unie door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker moet ook onder deze verordening vallen wanneer dat verband houdt met het controleren van het gedrag van de betrokkenen voor zover zich dat binnen de Unie situeert. Om uit te maken of een verwerking kan worden beschouwd als controle van het gedrag van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, en onder meer of in dat verband eventueel persoonsgegevensverwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen.
- 26. De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.
- 28. De toepassing van pseudonimisering op persoonsgegevens kan de risico's voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van pseudonimisering in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.
- 29. Om stimuli te creëren voor pseudonimisering bij de verwerking van persoonsgegevens zouden, terwijl een algemene analyse mogelijk blijft, pseudonimiseringsmaatregelen moeten kunnen worden genomen door dezelfde verwerkingsverantwoordelijke wanneer deze de noodzakelijke technische en organisatorische maatregelen heeft getroffen om er bij de desbetreffende verwerking voor te zorgen dat deze verordening ten uitvoer wordt gelegd, en dat de aanvullende gegevens om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard. De verwerkingsverantwoordelijke die de persoonsgegevens verwerkt, moet aangeven wie bij dezelfde verwerkingsverantwoordelijke gemachtigde personenzijn.
- 30. Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.
- 31. Overheidsinstanties waaraan ingevolge een wettelijke verplichting persoonsgegevens worden meegedeeld voor het vervullen van hun overheidstaak, zoals belasting- of douaneautoriteiten, financiëleonderzoeksdiensten, onafhankelijke bestuurlijke autoriteiten of financiëlemarktautoriteiten die belast zijn met de regulering van en het toezicht op de effectenmarkten, mogen niet worden beschouwd als ontvangers indien zij persoonsgegevens ontvangen die noodzakelijk zijn voor de uitvoering van een bepaald onderzoek van algemeen belang, overeenkomstig het Unierecht of het lidstatelijke recht. Door overheidsinstanties ingediende verzoeken om verstrekking moeten in ieder geval schriftelijk, gemotiveerd en incidenteel zijn, en mogen geen volledig bestand betreffen of resulteren in het onderling combineren van bestanden. De verwerking van persoonsgegevens door bedoelde overheidsinstanties moet stroken met de voor de doeleinden van de verwerking toepasselijke gegevensbeschermingsregels.
- 34. Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die blijken uit een analyse van een biologisch monster van de persoon in kwestie, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of uit een analyse van andere elementen waarmee soortgelijke informatie kan worden verkregen.
- 35. Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Dit omvat informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de RaadRichtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45). aan die natuurlijke persoon; een aan een natuurlijke persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die natuurlijke persoon geldt voor gezondheidsdoeleinden; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters; en informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals bijvoorbeeld een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnostiek.
- 36. De hoofdvestiging van een verwerkingsverantwoordelijke in de Unie dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt, tenzij de besluiten over de doeleinden van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke in de Unie, in welk geval deze andere vestiging als hoofdvestiging moet worden beschouwd. Welke vestiging de hoofdvestiging van een verwerkingsverantwoordelijke in de Unie is, dient te worden bepaald op grond van objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten, met het oog op het nemen van de kernbesluiten over de doelstellingen van en de middelen voor de verwerking via bestendige verhoudingen. Dit criterium mag niet afhangen van het feit of de verwerking van de persoonsgegevens op die locatie plaatsvindt. De aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten zijn niet bepalend voor het belang van een vestiging en zijn dan ook geen doorslaggevende criteria om te bepalen of het om de hoofdvestiging gaat. De hoofdvestiging van de verwerker dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt of, indien hij niet over een centrale administratie in de Unie beschikt, de plaats waar de voornaamste verwerkingsactiviteiten in de Unie plaatsvinden. Bij betrokkenheid van zowel de verwerkingsverantwoordelijke als de verwerker, moet de toezichthoudende autoriteit van de lidstaat waar de verwerkingsverantwoordelijke zijn hoofdvestiging heeft, de bevoegde leidende toezichthoudende autoriteit blijven, maar de toezichthoudende autoriteit van de verwerker moet worden beschouwd als een betrokken toezichthoudende autoriteit en die toezichthoudende autoriteit moet deelnemen aan de in deze verordening vastgestelde samenwerkingsprocedure. In elk geval mogen de toezichthoudende autoriteiten van de lidstaat of de lidstaten waar de verwerker een of meer vestigingen heeft niet worden aangemerkt als betrokken toezichthoudende autoriteiten wanneer het ontwerpbesluit alleen de verwerkingsverantwoordelijke betreft. Indien de verwerking door een concern wordt uitgevoerd, dient de hoofdvestiging van de zeggenschap uitoefenende onderneming als de hoofdvestiging van het concern te worden beschouwd, behalve indien het doel van en de middelen voor de verwerking door een andere onderneming worden bepaald.
- 37. Een concern dient te bestaan uit een onderneming die zeggenschap uitoefent en de ondernemingen waarover zeggenschap wordt uitgeoefend, waarbij de onderneming die zeggenschap uitoefent de onderneming dient te zijn die overheersende invloed kan uitoefenen over de andere ondernemingen uit hoofde van bijvoorbeeld eigendom, financiële deelneming of op haar van toepassing zijnde regels, of op grond van de bevoegdheid om regels inzake de bescherming van persoonsgegevens te doen uitvoeren. Een onderneming die toezicht uitoefent op de verwerking van persoonsgegevens in de met haar verbonden ondernemingen moet samen met deze ondernemingen als een concern worden beschouwd.
Jurisprudentie Hof van Justitie van de EU
| Zaak-nr. | Arrest |
|---|---|
| C-200/23 |
Agentsia po vpisvaniyata tegen OL Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Openbaarmaking in het handelsregister van een vennootschapsovereenkomst die persoonsgegevens bevat – Richtlijn (EU) 2017/1132 – Niet-verplichte persoonsgegevens – Geen toestemming van de betrokkene – Recht op gegevenswissing – Immateriële schade |
| C-604/22 |
IAB Europe tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Normerende sectororganisatie die haar leden een standaard voor de verwerking van de toestemming van gebruikers aanbiedt – Artikel 4, punt 1 – Begrip ,persoonsgegevens’ – Letter- en tekenreeks die de voorkeuren van een internetgebruiker met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens op een gestructureerde en machine-leesbare manier registreert – Artikel 4, punt 7 – Begrip ,verwerkingsverantwoordelijke’ – Artikel 26, lid 1 – Begrip ,gezamenlijke verwerkingsverantwoordelijken’ – Organisatie die zelf geen toegang heeft tot de persoonsgegevens die door haar leden worden verwerkt – Verantwoordelijkheid van de organisatie die zich uitstrekt tot latere gegevensverwerkingen door derden |
| C-231/22 |
Belgische Staat tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip ,verwerkingsverantwoordelijke’ – Publicatieblad van een lidstaat – Verplichting om akten van vennootschappen die deze of hun wettelijke vertegenwoordigers hebben voorbereid, als zodanig bekend te maken – Artikel 5, lid 2 – Opeenvolgende verwerking van in dergelijke akten voorkomende persoonsgegevens door verschillende personen of entiteiten – Aanwijzing van de verantwoordelijkheid |
| C-683/21 |
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos tegen Valstybinė duomenų apsaugos inspekcija Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punten 2 en 7 – Begrippen ‚verwerking’ en ‚verwerkingsverantwoordelijke’ – Ontwikkeling van een mobiele IT-applicatie – Artikel 26 – Gezamenlijke verwerkingsverantwoordelijkheid – Artikel 83 – Oplegging van administratieve geldboeten – Voorwaarden – Vereiste dat de inbreuk opzettelijk of uit nalatigheid is begaan – Verantwoordelijkheid van de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens door een verwerker |
| C-659/22 |
RK tegen Ministerstvo zdravotnictví Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 2 – Begrip ‚verwerking’ van persoonsgegevens – Mobiele applicatie – Verificatie van de geldigheid van digitale EU-COVID-certificaten die zijn afgegeven op grond van verordening (EU) 2021/953 |
| C-252/21 |
Meta Platforms Inc., anciennement Facebook Inc. e.a. tegen Bundeskartellamt Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Online sociale netwerken – Misbruik van machtspositie door de exploitant van een dergelijk netwerk – Misbruik bestaande in de verwerking van persoonsgegevens van de gebruikers van dat netwerk, in welke verwerking is voorzien in de algemene gebruiksvoorwaarden van dat netwerk – Bevoegdheid van een mededingingsautoriteit van een lidstaat om vast te stellen dat deze verwerking niet in overeenstemming is met die verordening – Verhouding tot de bevoegdheden van de nationale autoriteiten die belast zijn met het toezicht op de bescherming van persoonsgegevens – Artikel 4, lid 3, VEU – Beginsel van loyale samenwerking – Artikel 6, lid 1, eerste alinea, onder a) tot en met f), van verordening 2016/679 – Rechtmatigheid van de verwerking – Artikel 9, leden 1 en 2 – Verwerking van bijzondere categorieën van persoonsgegevens – Artikel 4, punt 11 – Begrip ‚toestemming’ |
| C-129/21 |
Proximus NV tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58/EG – Artikel 12 – Openbare telefoongidsen en telefooninlichtingendiensten – Toestemming van de abonnee – Verplichtingen van de aanbieder van abonneelijsten en inlichtingendiensten – Verordening (EU) 2016/679 – Artikel 17 – Recht op gegevenswissing (‚recht op vergetelheid’) – Artikel 5, lid 2 – Artikel 24 – Informatieverplichtingen en verantwoordelijkheid van de verwerkingsverantwoordelijke |
| C-61/19 |
Orange Romania SA tegen Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) Prejudiciële verwijzing – Richtlijn 95/46/EG – Artikel 2, onder h), en artikel 7, onder a) – Verordening (EU) 2016/679 – Artikel 4, punt 11, en artikel 6, lid 1, onder a) – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer – Verzamelen en bewaren van kopieën van identiteitsbewijzen door een aanbieder van mobieletelecommunicatiediensten – Begrip ‚toestemming’ van de betrokkene – Vrije, specifieke en op informatie berustende wilsuiting – Verlenen van toestemming door een vakje aan te vinken – Ondertekening van de overeenkomst door de betrokkene – Bewijslast |
| C-272/19 |
VQ tegen Land Hessen Prejudiciële verwijzing – Artikel 267 VWEU – Begrip ,rechterlijke instantie’ – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Werkingssfeer – Artikel 2, lid 2, onder a) – Begrip ,activiteiten die buiten de werkingssfeer van het Unierecht vallen’ – Artikel 4, punt 7 – Begrip ,verwerkingsverantwoordelijke’ – Commissie verzoekschriften van het parlement van een deelstaat van een lidstaat – Artikel 15 – Recht van inzage van de betrokkene |
| C-673/17 |
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. tegen Planet49 GmbH Prejudiciële verwijzing – Richtlijn 95/46/EG – Richtlijn 2002/58/EG – Verordening (EU) 2016/679 – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Cookies – Begrip ‚toestemming van de betrokkene’ – Verklaring van toestemming door middel van een standaard aangevinkt selectievakje |
| Bepaling | Arrest(en) |
|---|---|
| Artikel 4, punt 1 |
Agentsia po vpisvaniyata tegen OL Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Openbaarmaking in het handelsregister van een vennootschapsovereenkomst die persoonsgegevens bevat – Richtlijn (EU) 2017/1132 – Niet-verplichte persoonsgegevens – Geen toestemming van de betrokkene – Recht op gegevenswissing – Immateriële schade
IAB Europe tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Normerende sectororganisatie die haar leden een standaard voor de verwerking van de toestemming van gebruikers aanbiedt – Artikel 4, punt 1 – Begrip ,persoonsgegevens’ – Letter- en tekenreeks die de voorkeuren van een internetgebruiker met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens op een gestructureerde en machine-leesbare manier registreert – Artikel 4, punt 7 – Begrip ,verwerkingsverantwoordelijke’ – Artikel 26, lid 1 – Begrip ,gezamenlijke verwerkingsverantwoordelijken’ – Organisatie die zelf geen toegang heeft tot de persoonsgegevens die door haar leden worden verwerkt – Verantwoordelijkheid van de organisatie die zich uitstrekt tot latere gegevensverwerkingen door derden |
| Artikel 4, punt 11 |
Meta Platforms Inc., anciennement Facebook Inc. e.a. tegen Bundeskartellamt Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Online sociale netwerken – Misbruik van machtspositie door de exploitant van een dergelijk netwerk – Misbruik bestaande in de verwerking van persoonsgegevens van de gebruikers van dat netwerk, in welke verwerking is voorzien in de algemene gebruiksvoorwaarden van dat netwerk – Bevoegdheid van een mededingingsautoriteit van een lidstaat om vast te stellen dat deze verwerking niet in overeenstemming is met die verordening – Verhouding tot de bevoegdheden van de nationale autoriteiten die belast zijn met het toezicht op de bescherming van persoonsgegevens – Artikel 4, lid 3, VEU – Beginsel van loyale samenwerking – Artikel 6, lid 1, eerste alinea, onder a) tot en met f), van verordening 2016/679 – Rechtmatigheid van de verwerking – Artikel 9, leden 1 en 2 – Verwerking van bijzondere categorieën van persoonsgegevens – Artikel 4, punt 11 – Begrip ‚toestemming’
Proximus NV tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58/EG – Artikel 12 – Openbare telefoongidsen en telefooninlichtingendiensten – Toestemming van de abonnee – Verplichtingen van de aanbieder van abonneelijsten en inlichtingendiensten – Verordening (EU) 2016/679 – Artikel 17 – Recht op gegevenswissing (‚recht op vergetelheid’) – Artikel 5, lid 2 – Artikel 24 – Informatieverplichtingen en verantwoordelijkheid van de verwerkingsverantwoordelijke
Orange Romania SA tegen Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) Prejudiciële verwijzing – Richtlijn 95/46/EG – Artikel 2, onder h), en artikel 7, onder a) – Verordening (EU) 2016/679 – Artikel 4, punt 11, en artikel 6, lid 1, onder a) – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer – Verzamelen en bewaren van kopieën van identiteitsbewijzen door een aanbieder van mobieletelecommunicatiediensten – Begrip ‚toestemming’ van de betrokkene – Vrije, specifieke en op informatie berustende wilsuiting – Verlenen van toestemming door een vakje aan te vinken – Ondertekening van de overeenkomst door de betrokkene – Bewijslast
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. tegen Planet49 GmbH Prejudiciële verwijzing – Richtlijn 95/46/EG – Richtlijn 2002/58/EG – Verordening (EU) 2016/679 – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Cookies – Begrip ‚toestemming van de betrokkene’ – Verklaring van toestemming door middel van een standaard aangevinkt selectievakje |
| Artikel 4, punt 2 |
RK tegen Ministerstvo zdravotnictví Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punt 2 – Begrip ‚verwerking’ van persoonsgegevens – Mobiele applicatie – Verificatie van de geldigheid van digitale EU-COVID-certificaten die zijn afgegeven op grond van verordening (EU) 2021/953
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos tegen Valstybinė duomenų apsaugos inspekcija Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punten 2 en 7 – Begrippen ‚verwerking’ en ‚verwerkingsverantwoordelijke’ – Ontwikkeling van een mobiele IT-applicatie – Artikel 26 – Gezamenlijke verwerkingsverantwoordelijkheid – Artikel 83 – Oplegging van administratieve geldboeten – Voorwaarden – Vereiste dat de inbreuk opzettelijk of uit nalatigheid is begaan – Verantwoordelijkheid van de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens door een verwerker |
| Artikel 4, punt 7 |
IAB Europe tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Normerende sectororganisatie die haar leden een standaard voor de verwerking van de toestemming van gebruikers aanbiedt – Artikel 4, punt 1 – Begrip ,persoonsgegevens’ – Letter- en tekenreeks die de voorkeuren van een internetgebruiker met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens op een gestructureerde en machine-leesbare manier registreert – Artikel 4, punt 7 – Begrip ,verwerkingsverantwoordelijke’ – Artikel 26, lid 1 – Begrip ,gezamenlijke verwerkingsverantwoordelijken’ – Organisatie die zelf geen toegang heeft tot de persoonsgegevens die door haar leden worden verwerkt – Verantwoordelijkheid van de organisatie die zich uitstrekt tot latere gegevensverwerkingen door derden
Belgische Staat tegen Gegevensbeschermingsautoriteit Prejudiciële verwijzing – Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) – Verordening (EU) 2016/679 – Artikel 4, punt 7 – Begrip ,verwerkingsverantwoordelijke’ – Publicatieblad van een lidstaat – Verplichting om akten van vennootschappen die deze of hun wettelijke vertegenwoordigers hebben voorbereid, als zodanig bekend te maken – Artikel 5, lid 2 – Opeenvolgende verwerking van in dergelijke akten voorkomende persoonsgegevens door verschillende personen of entiteiten – Aanwijzing van de verantwoordelijkheid
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos tegen Valstybinė duomenų apsaugos inspekcija Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punten 2 en 7 – Begrippen ‚verwerking’ en ‚verwerkingsverantwoordelijke’ – Ontwikkeling van een mobiele IT-applicatie – Artikel 26 – Gezamenlijke verwerkingsverantwoordelijkheid – Artikel 83 – Oplegging van administratieve geldboeten – Voorwaarden – Vereiste dat de inbreuk opzettelijk of uit nalatigheid is begaan – Verantwoordelijkheid van de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens door een verwerker
VQ tegen Land Hessen Prejudiciële verwijzing – Artikel 267 VWEU – Begrip ,rechterlijke instantie’ – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Werkingssfeer – Artikel 2, lid 2, onder a) – Begrip ,activiteiten die buiten de werkingssfeer van het Unierecht vallen’ – Artikel 4, punt 7 – Begrip ,verwerkingsverantwoordelijke’ – Commissie verzoekschriften van het parlement van een deelstaat van een lidstaat – Artikel 15 – Recht van inzage van de betrokkene |
Sanctie-besluiten en EDPB-richtsnoeren
| Datum publicatie | Document |
|---|---|
| 16 januari 2024 |
Boete ICS Financiële ondernemingen; Praktisch AVG - De Autoriteit Persoonsgegevens (AP) legt International Card Services B. V. (ICS) een boete op van 150. 000 euro. ICS gebruikte op grote schaal persoonlijke gegevens van klanten zonder dat het bedrijf eerst een wettelijk verplichte DPIA deed, een analyse waarmee mogelijke privacyrisico’s in kaart worden gebracht. ICS overtrad daardoor de privacywet, de Algemene verordening gegevensbescherming (AVG). Lees verder: Boete voor creditcardbedrijf ICS…. |
| 13 april 2023 |
Boete Sociale Verzekeringsbank Uitkering en sociale zekerheid; Beveiliging van persoonsgegevens; Datalekken - De Autoriteit Persoonsgegevens (AP) heeft de Sociale Verzekeringsbank (SVB) een boete opgelegd van 150. 000 euro. De SVK krijgt de boete vanwege gebrekkige identiteitscontrole door de telefonische helpdesk. Cliënten met een AOW-uitkering liepen hierdoor het risico dat gevoelige informatie terecht zou komen bij personen die daar geen recht op hebben. Lees verder: Boete voor SVB na gebrekkige…. |
| 6 april 2022 |
Boete ministerie Buitenlandse Zaken NVIS Europese informatiesystemen; Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens heeft het ministerie van Buitenlandse Zaken een boete opgelegd van 565. 000 euro. Buitenlandse Zaken krijgt de boete vanwege slechte beveiliging van visumaanvragen. Naast de boete legt de AP last onder dwangsommen op voor het in orde maken van de beveiliging (50. 000 euro per 2 weken) en van de informatievoorziening (10. 000 euro per week). Lees verder: Boete voor Buitenlandse Zaken voor slechte…. |
| 7 december 2021 |
Boete Belastingdienst kinderopvangtoeslag Uitkering en sociale zekerheid; Algoritmes uitgelegd - De Autoriteit Persoonsgegevens (AP) heeft de Belastingdienst een boete opgelegd van 2,75 miljoen euro. De reden is dat de Belastingdienst jarenlang de (dubbele) nationaliteit van aanvragers van kinderopvangtoeslag op onrechtmatige, discriminerende en daarmee onbehoorlijke wijze heeft verwerkt. Dit zijn ernstige overtredingen van de privacywet, de Algemene verordening gegevensbescherming (AVG). Lees verder: Boete Belastingdienst voor…. |
| 12 november 2021 |
Boete Transavia Beveiliging van persoonsgegevens; Datalekken - De Autoriteit Persoonsgegevens (AP) heeft luchtvaartmaatschappij Transavia een boete opgelegd van 400. 000 euro. Transavia krijgt de boete voor het slecht beveiligen van persoonsgegevens. Door die slechte beveiliging kon een hacker de systemen van Transavia binnendringen. Lees verder: AP beboet Transavia om slechte beveiliging persoonsgegevens. 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den…. |
| 22 juli 2021 |
Boete TikTok recht op informatie Smartphone & apps; Privacyrechten AVG; Persoonsgegevens op internet; Internationale samenwerking - De Autoriteit Persoonsgegevens legt TikTok een boete van 750. 000 euro op. TikTok krijgt de boete voor het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers – veelal jonge kinderen – van TikTok kregen bij het installeren en gebruiken van de app, was in het Engels en daardoor niet goed te begrijpen. Door de privacyverklaring niet in het Nederlands aan…. |
| 10 juni 2021 |
Boete orthodontiepraktijk Burgerservicenummer (BSN); Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens (AP) legt een orthodontiepraktijk een boete op vanwege een onbeveiligde patiëntenwebsite. De praktijk krijgt de boete omdat nieuwe patiënten zich via een onbeveiligde website konden aanmelden. Hierdoor liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Lees verder: AP: Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite 1 …. |
| 12 mei 2021 |
Boete Locatefamily.com De Autoriteit Persoonsgegevens legt Locatefamily. com een boete op van 525. 000 euro. Locatefamily. com publiceert adresgegevens en telefoonnummers van mensen, vaak zonder dat die mensen dat weten. Als zij hun gegevens willen laten schrappen is dat niet eenvoudig, omdat Locatefamily geen vertegenwoordiger heeft in de EU. Dat is een overtreding van de privacywet en de reden van de boete. Lees verder: Boete van 525. 000 euro voor Locatefamily. com 1 Autoriteit Persoonsgegevens Postbus 93374,…. |
| 11 mei 2021 |
Boete datalek PVV Overijssel Datalekken; Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens (AP) heeft de PVV Overijssel een boete opgelegd van 7. 500 euro. De PVV Overijssel krijgt deze boete omdat de partij een datalek niet heeft gemeld bij de AP. Door dit datalek zijn politieke opvattingen van mensen gelekt. Lees verder: Boete PVV Overijssel vanwege niet melden datalek. 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den Haag T 070 8888 500 - F 070…. |
| 29 april 2021 |
Boete wifitracking Enschede Wifi en bluetooth; Gemeenten - De Autoriteit Persoonsgegevens (AP) heeft een boete van 600. 000 euro opgelegd aan de gemeente Enschede. De reden voor de boete is dat gemeente Enschede wifitracking gebruikte in de binnenstad op een manier die niet mag. Daardoor was het mogelijk winkelend publiek en mensen die in de binnenstad wonen of werken te volgen. Lees verder: Boete gemeente Enschede om wifitracking. Update maart 2024Op 2 februari 2024 heeft de rechtbank Overijssel geoordeeld dat de AP…. |
| 31 maart 2021 |
Boete Booking.com Bijlage(n) 1 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den Haag T 070 8888 500 - F 070 8888 501 autoriteitpersoonsgegevens. nl Aangetekend Booking. com B. V. De Raad van Bestuur t. a. v. [VERTROUWELIJK] Postbus 1639 1000 BP Amsterdam Datum 10 december 2020 Ons kenmerk [VERTROUWELIJK] Contactpersoon [VERTROUWELIJK] Onderwerp Besluit tot het opleggen van een bestuurlijke boete Geachte…. |
| 30 april 2020 |
Boete vingerafdrukken personeel Biometrie; Controle van werknemers; Personeelsgegevens - De Autoriteit Persoonsgegevens (AP) heeft een boete van 725. 000 euro opgelegd aan een bedrijf voor het verwerken van biometrische gegevens (vingerafdrukken) van werknemers. Werknemers van dit bedrijf moesten hun vingerafdrukken laten scannen voor aanwezigheids- en tijdsregistratie. Dit mag niet, omdat er voor het bedrijf geen uitzondering geldt op het verbod om bijzondere persoonsgegevens (waaronder biometrische gegevens, zoals…. |
| 16 juli 2019 |
Boete HagaZiekenhuis Beveiliging van persoonsgegevens; Gezondheidsgegevens in een dossier; Gezondheidsgegevens gebruiken en delen - De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis een boete van 460. 000 euro opgelegd. Het HagaZiekenhuis krijgt de boete omdat de interne beveiliging van patiëntendossiers niet op orde is. Om het Haga te dwingen de beveiliging van patiëntendossiers te verbeteren, legt de AP tegelijkertijd een last onder dwangsom op. Lees verder: Haga beboet voor onvoldoende interne…. |
| 9 januari 2025 |
Woo-besluit: Besluit op bezwaar boete KNLTB De Autoriteit Persoonsgegevens (AP) heeft een Woo-verzoek ontvangen over het besluit op bezwaar van de boete voor de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB). De AP besluit de informatie voor een deel openbaar te maken. Informatie over bedrijfs- en fabricagegegevens die vertrouwelijk met de AP zijn gedeeld, wordt niet openbaar gemaakt. Ook staan er persoonsgegevens in de documenten. Deze gegevens zijn geanonimiseerd. RAN k Dljete: lens al AUTORITEIT PERSOONSGEGEVENS Autoriteit…. |
| 22 november 2023 |
Woo-stukken 2023-223656: Boete vanwege vingerafdrukscan werknemers Biometrie; Controle van werknemers - De Autoriteit Persoonsgegevens (AP) maakt informatie over een boete openbaar naar aanleiding van een verzoek op grond van de Wet open overheid (Woo-verzoek). De Woo-stukken gaan over een beslissing op bezwaar. In 2019 legde de AP een boete op aan een organisatie die biometrische gegevens (scans van vingerafdrukken) van werknemers verwerkte. De organisatie maakte bezwaar tegen deze boete. Hierop verlaagde de AP de boete. Zie ook het Woo-besluit over deze…. |
- Inhoudsopgave
- Tekst van artikel 4
- Relevante overwegingen 11
- Arresten Hof van Justitie 10
- Besluiten en richtsnoeren 15
- Bijdragen?