LegalizeVerdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens
De Lid-Staten van de Raad van Europa die dit Verdrag hebben ondertekend,
Overwegende dat het doel van de Raad van Europa is het tot stand brengen van een grotere eenheid tussen zijn leden, gebaseerd in het bijzonder op de eerbiediging van de heerschappij van het recht, alsmede van de rechten van de mens en de fundamentele vrijheden;
Overwegende dat het wenselijk is de bescherming van ieders rechten en fundamentele vrijheden, en in het bijzonder het recht op eerbiediging van de persoonlijke levenssfeer, uit te breiden gezien de toeneming van het grensoverschrijdende verkeer van langs geautomatiseerde weg verwerkte persoonsgegevens;
Opnieuw bevestigend te zelfder tijd hun stellingname ten gunste van de vrijheid van informatie, zonder hierbij acht te slaan op grenzen;
Erkennende dat het noodzakelijk is de fundamentele waarde van de eerbiediging van de persoonlijke levenssfeer en die van het vrije verkeer van informatie tussen de volkeren met elkaar in overeenstemming te brengen;
Zijn overeengekomen als volgt:
HOOFDSTUK I. ALGEMENE BEPALINGEN
Artikel 1. Onderwerp en doel
Dit Verdrag heeft tot doel op het grondgebied van elke Partij aan iedere natuurlijke persoon, ongeacht zijn nationaliteit of verblijfplaats, de eerbiediging van zijn rechten en fundamentele vrijheden te waarborgen en met name zijn recht op persoonlijke levenssfeer met betrekking tot de geautomatiseerde verwerking van hem betreffende persoonsgegevens („gegevensbescherming”).
Artikel 2. Begripsomschrijvingen
Voor de toepassing van dit Verdrag:
- a. wordt onder „persoonsgegevens” verstaan: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon („betrokkene”);
- b. wordt onder „geautomatiseerd bestand” verstaan: iedere verzameling gegevens die langs geautomatiseerde weg wordt verwerkt;
- c. omvat „geautomatiseerde verwerking”: de volgende geheel of gedeeltelijk langs geautomatiseerde weg uitgevoerde bewerkingen: opslag van gegevens, toepassing van logische en/of rekenkundige bewerkingen op die gegevens; het wijzigen, uitwissen, opvragen en verspreiden van die gegevens;
- d. wordt onder „houder van een bestand” verstaan: de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam welke volgens het nationale recht de bevoegdheid heeft te beslissen welk doel het geautomatiseerde bestand moet dienen, welke categorieën persoonsgegevens dienen te worden opgeslagen en welke bewerkingen hierop zullen worden toegepast.
Artikel 3. Werkingssfeer
De Partijen verbinden zich dit Verdrag toe te passen op de geautomatiseerde bestanden van persoonsgegevens en op de geautomatiseerde verwerking van persoonsgegevens in de openbare en particuliere sector.
Elke Staat kan bij de ondertekening of de nederlegging van zijn akte van bekrachtiging, aanvaarding, goedkeuring of toetreding, of op elk later tijdstip, door middel van een verklaring gericht aan de Secretaris-Generaal van de Raad van Europa kenbaar maken dat:
- a. hij dit Verdrag niet zal toepassen op bepaalde categorieën geautomatiseerde bestanden van persoonsgegevens, waarvan een lijst zal worden overgelegd. Hij mag in die lijst echter geen categorieën geautomatiseerde bestanden opnemen die krachtens zijn interne recht onder voorschriften inzake gegevensbescherming vallen. Hij dient deze lijst derhalve door middel van een nieuwe verklaring te herzien telkens wanneer nieuwe categorieën geautomatiseerde bestanden van persoonsgegevens onder zijn nationale stelsel van gegevensbescherming komen te vallen;
- b. hij dit Verdrag eveneens zal toepassen op informatie betreffende groeperingen, verenigingen, stichtingen, vennootschappen of enig ander lichaam dat direct of indirect uit natuurlijke personen bestaat, ongeacht of het rechtspersoonlijkheid bezit;
- c. hij dit Verdrag eveneens zal toepassen op bestanden van persoonsgegevens die niet langs geautomatiseerde weg worden verwerkt.
Elke Staat die de werkingssfeer van dit Verdrag door middel van een van de in het tweede lid, letter b of c, hierboven bedoelde verklaringen heeft uitgebreid, kan in deze verklaring aangeven dat de uitbreidingen slechts van toepassing zijn op bepaalde categorieën bestanden van persoonsgegevens waarvan een lijst wordt overgelegd.
Een Partij die bepaalde categorieën geautomatiseerde bestanden van persoonsgegevens door middel van een verklaring als bedoeld in het tweede lid, letter a, hierboven heeft uitgesloten, kan niet van een Partij die deze niet heeft uitgesloten, verlangen dat laatstgenoemde Partij dit Verdrag op zodanige categorieën toepast.
Evenmin kan een Partij die niet tot één der uitbreidingen bedoeld in het tweede lid, letters b en c, van dit artikel is overgegaan van een Partij die wel tot uitbreiding is overgegaan, verlangen dat deze op die punten dit Verdrag zal toepassen.
De verklaringen bedoeld in het tweede lid van dit artikel worden van kracht op het tijdstip van inwerkingtreding van dit Verdrag ten aanzien van de Staat die deze heeft ingediend, indien deze Staat die verklaringen heeft ingediend bij ondertekening of bij nederlegging van zijn akte van bekrachtiging, aanvaarding, goedkeuring of toetreding, dan wel drie maanden na ontvangst hiervan door de Secretaris-Generaal van de Raad van Europa, indien zij op een later tijdstip zijn ingediend. Deze verklaringen kunnen geheel of gedeeltelijk worden ingetrokken door middel van een kennisgeving gericht aan de Secretaris-Generaal van de Raad van Europa. De intrekking wordt van kracht drie maanden na de datum van ontvangst van een zodanige kennisgeving.
HOOFDSTUK II. GRONDBEGINSELEN VAN GEGEVENSBESCHERMING
Artikel 4. Verplichtingen van Partijen
Elke Partij treft in zijn interne recht de noodzakelijke maatregelen om uitvoering te geven aan de grondbeginselen van gegevensbescherming, vervat in dit hoofdstuk.
Deze maatregelen dienen te zijn getroffen uiterlijk op het tijdstip waarop dit Verdrag ten aanzien van die Partij in werking treedt.
Artikel 5. Hoedanigheid van de gegevens
Persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen:
- a. op eerlijke en rechtmatige wijze te worden verkregen en verwerkt;
- b. te worden opgeslagen voor bepaalde en legitieme doeleinden en niet te worden gebruikt op een wijze die onverenigbaar is met die doeleinden;
- c. toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden opgeslagen;
- d. nauwkeurig te zijn en, zo nodig, te worden bijgewerkt;
- e. te worden bewaard in een zodanige vorm dat de betrokkene hierdoor niet langer te identificeren is dan strikt noodzakelijk is voor het doel waarvoor de gegevens zijn opgeslagen.
Artikel 6. Bijzondere categorieën gegevens
Persoonsgegevens waaruit ras, politieke overtuiging, godsdienstige of andere levensbeschouwing blijkt, alsmede die welke betrekking hebben op gezondheid of seksueel gedrag, mogen niet langs geautomatiseerde weg worden verwerkt, tenzij het interne recht passende waarborgen ter zake biedt. Hetzelfde geldt voor persoonsgegevens over strafrechtelijke veroordelingen.
Artikel 7. Beveiliging van gegevens
Er dienen passende beveiligingsmaatregelen te worden getroffen om persoonsgegevens opgeslagen in geautomatiseerde bestanden te beschermen tegen toevallige of ongeoorloofde vernietiging, toevallig verlies en ongeoorloofde toegang, wijziging of verspreiding.
Artikel 8. Bijkomende waarborgen voor de betrokkene
Een ieder dient in staat te worden gesteld:
- a. kennis te nemen van het bestaan van een geautomatiseerd bestand van persoonsgegevens, de voornaamste doeleinden hiervan, alsmede de identiteit en de gewone verblijfplaats of de hoofdvestiging van de houder van het bestand;
- b. met redelijke tussenpozen en zonder overmatige vertraging of kosten uitsluitsel te verkrijgen over de vraag of persoonsgegevens over hem in het geautomatiseerde bestand zijn opgeslagen en die gegevens in begrijpelijke vorm medegedeeld te krijgen;
- c. in voorkomend geval die gegevens te doen verbeteren of uitwissen, indien deze zijn verwerkt in strijd met de bepalingen van het interne recht ter uitvoering van de grondbeginselen vervat in de artikelen 5 en 6 van dit Verdrag;
- d. over een rechtsmiddel te beschikken, indien geen gevolg wordt gegeven aan een verzoek om uitsluitsel of, al naargelang het geval, mededeling, verbetering of uitwissing van persoonsgegevens als bedoeld in letter b en letter c van dit artikel.
Artikel 9. Uitzonderingen en beperkingen
Op het in de artikelen 5, 6 en 8 van dit Verdrag bepaalde is geen uitzondering toegestaan, tenzij binnen de in dit artikel gestelde grenzen.
Van het in de
artikelen 5, 6 en 8 van dit Verdrag bepaalde kan worden afgeweken, indien de wet van de Partij in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van:
- a. de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten;
- b. de bescherming van de betrokkene en van de rechten en vrijheden van anderen.
Aan de uitoefening van de in letters b, c en d van artikel 8 opgesomde rechten mogen bij de wet beperkingen worden gesteld wat betreft geautomatiseerde bestanden van persoonsgegevens die worden gebruikt voor statistiek of voor wetenschappelijk onderzoek, indien er kennelijk geen risico bestaat dat inbreuk zal worden gemaakt op de persoonlijke levenssfeer van de betrokkenen.
Artikel 10. Sancties en rechtsmiddelen
Elke Partij verbindt zich passende sancties en rechtsmiddelen in te stellen ter zake van schending van bepalingen van het interne recht waarmede uitvoering wordt gegeven aan de grondbeginselen van gegevensbescherming, vervat in dit hoofdstuk.
Artikel 11. Verdergaande bescherming
Geen der bepalingen van dit hoofdstuk mag worden uitgelegd in de zin van een beperking of aantasting van de bevoegdheid van iedere Partij om aan betrokkenen een verdergaande bescherming te bieden dan bij dit Verdrag is bepaald.
HOOFDSTUK III. GRENSOVERSCHRIJDEND VERKEER VAN GEGEVENS
Artikel 12. Grensoverschrijdend verkeer van persoonsgegevens en intern recht
De volgende bepalingen gelden voor het overbrengen over de landsgrenzen, met welk middel dan ook, van persoonsgegevens die langs geautomatiseerde weg worden verwerkt of die zijn verzameld met het doel deze een zodanige verwerking te doen ondergaan.
Een Partij mag niet louter om wille van de bescherming van de persoonlijke levenssfeer het grensoverschrijdende verkeer van persoonsgegevens van haar grondgebied naar dat van een andere Partij verbieden of aan een speciale vergunning onderwerpen.
Niettemin mag een Partij van het bepaalde in het tweede lid afwijken:
- a. voor zover haar wetgeving een specifieke regeling voor bepaalde categorieën persoonsgegevens of geautomatiseerde bestanden van persoonsgegevens bevat uit hoofde van de aard van die gegevens of die bestanden, behalve wanneer de voorschriften van de andere Partij een gelijkwaardige bescherming bieden;
- b. wanneer de overbrenging van haar grondgebied naar dat van een niet-verdragsluitende Staat plaatsvindt via het grondgebied van een andere Partij, ten einde te voorkomen dat zulke overbrengingen zouden leiden tot het omzeilen van de wetgeving van de aan het begin van dit lid bedoelde Partij.
HOOFDSTUK IV. WEDERZIJDSE HULP
Artikel 13. Samenwerking tussen de Partijen
De Partijen verbinden zich elkaar ter uitvoering van dit Verdrag onderling hulp te verlenen.
Te dien einde:
- a. wijst elke Partij één of meer instanties aan, waarvan zij de naam en het adres mededeelt aan de Secretaris-Generaal van de Raad van Europa;
- b. geeft elke Partij die meer dan één instantie heeft aangewezen in de kennisgeving bedoeld in het vorige lid een omschrijving van de bevoegdheden van iedere instantie.
Een door een Partij aangewezen instantie zal op verzoek van een door een andere Partij aangewezen instantie:
- a. inlichtingen verstrekken over haar recht en bestuurspraktijk op het gebied van gegevensbescherming;
- b. in overeenstemming met haar interne recht en uitsluitend ter bescherming van de persoonlijke levenssfeer alle passende maatregelen nemen om feitelijke inlichtingen te geven over een bepaalde geautomatiseerde verwerking die op haar grondgebied plaats vindt, met uitzondering evenwel van de persoonsgegevens die aldus worden verwerkt.
Artikel 14. Hulp aan in het buitenland verblijf houdende betrokkenen
Elke Partij verleent hulp aan iedere in het buitenland verblijf houdende persoon waar het de uitoefening betreft van de rechten vervat in zijn interne recht, ter uitvoering van de in artikel 8 van dit Verdrag nedergelegde grondbeginselen.
Indien zulk een persoon op het grondgebied van een andere Partij verblijf houdt, kan hij desgewenst zijn verzoek indienen door tussenkomst van de door die Partij aangewezen instantie.
Het verzoek om hulp dient alle nodige informatie te bevatten met betrekking tot in het bijzonder:
- a. naam, adres en andere benodigde gegevens ter identificatie van de verzoeker;
- b. het geautomatiseerde bestand van persoonsgegevens waarop het verzoek betrekking heeft of de houder hiervan;
- c. het doel van het verzoek.
Artikel 15. Waarborgen omtrent hulp verleend door aangewezen instanties
Een door een Partij aangewezen instantie die van een door een andere Partij aangewezen instantie inlichtingen heeft ontvangen, hetzij ter ondersteuning van een verzoek om hulp, hetzij in antwoord op een verzoek om hulp dat zij zelf heeft gedaan, mag deze inlichtingen niet voor andere doeleinden gebruiken dan vermeld in het verzoek om hulp.
Elke Partij ziet erop toe dat personen die behoren tot of handelen namens de aangewezen instantie verplicht worden de nodige geheimhouding of vertrouwelijkheid te betrachten ten aanzien van die inlichtingen.
In geen geval mag een aangewezen instantie een verzoek om hulp namens een in het buitenland verblijf houdende betrokkene als bedoeld in artikel 14, tweede lid, eigener beweging en zonder de uitdrukkelijke toestemming van die persoon indienen.
Artikel 16. Afwijzing van verzoeken om hulp
Een aangewezen instantie tot wie een verzoek om hulp als bedoeld in de artikelen 13 of 14 van dit Verdrag wordt gericht, mag slechts weigeren hieraan gevolg te geven wanneer:
- a. het verzoek onverenigbaar is met de bevoegdheden op het gebied van gegevensbescherming van de tot antwoorden gerechtigde instanties;
- b. het verzoek niet in overeenstemming is met de bepalingen van dit Verdrag;
- c. uitvoering van het verzoek onverenigbaar zou zijn met de soevereiniteit, veiligheid of openbare orde van de Partij die haar heeft aangewezen of met de rechten en fundamentele vrijheden van personen ressorterend onder de rechtsmacht van die Partij.
Artikel 17. Kosten en procedures van hulpverlening
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.