Законодавство Нідерландів

Стаття 4

чинна

Algemene bepalingen

Загальний регламент захисту даних (GDPR) · Глава 1 · Редакція діє з None

Оригінал

Для цілей цього регламенту під нижченаведеними термінами розуміється:

1) «персональні дані»: будь-яка інформація про ідентифіковану фізичну особу або фізичну особу, яку можна ідентифікувати («суб’єкт даних»); фізичною особою, яку можна ідентифікувати, вважається особа, яку можна прямо чи опосередковано ідентифікувати, зокрема за допомогою ідентифікатора, такого як ім’я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або за допомогою одного чи кількох елементів, що є характерними для фізичної, фізіологічної, генетичної, психічної, економічної, культурної чи соціальної ідентичності цієї фізичної особи;

2) «обробка»: будь-яка операція або сукупність операцій, що здійснюються стосовно персональних даних або сукупності персональних даних, незалежно від того, чи здійснюються вони автоматизованими засобами, такі як збирання, запис, упорядкування, структурування, зберігання, оновлення або зміна, вилучення, перегляд, використання, розкриття шляхом передавання, поширення або іншого надання доступу, зіставлення або комбінування, обмеження, видалення або знищення даних;

3) «обмеження обробки»: маркування збережених персональних даних з метою обмеження їхньої подальшої обробки;

4) «профілювання»: будь-яка форма автоматизованої обробки персональних даних, що полягає в оцінці певних особистих аспектів фізичної особи на основі персональних даних, зокрема з метою аналізу чи прогнозування її професійної діяльності, економічного стану, стану здоров’я, особистих уподобань, інтересів, надійності, поведінки, місцезнаходження або переміщень;

5) «псевдонімізація»: обробка персональних даних у такий спосіб, за якого персональні дані не можуть бути більше пов’язані з конкретним суб’єктом даних без використання додаткової інформації, за умови, що така додаткова інформація зберігається окремо та вживаються технічні й організаційні заходи для гарантування того, що персональні дані не будуть пов’язані з ідентифікованою або такою, що може бути ідентифікована, фізичною особою;

6) «файл»: будь-яка структурована сукупність персональних даних, доступ до яких здійснюється відповідно до визначених критеріїв, незалежно від того, чи є ця сукупність централізованою, децентралізованою або розподіленою за функціональними чи географічними ознаками;

7) «контролер»: фізична або юридична особа, орган державної влади, служба чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних; якщо цілі та засоби такої обробки визначаються правом Союзу або правом держави-члена, контролер або критерії його призначення можуть бути визначені правом Союзу або правом держави-члена;

8) «обробник»: фізична або юридична особа, орган державної влади, служба чи інший орган, який здійснює обробку персональних даних від імені контролера;

9) «отримувач»: фізична або юридична особа, орган державної влади, служба чи інший орган, незалежно від того, чи є вони третьою стороною, яким надаються персональні дані. Проте органи державної влади, які можуть отримувати персональні дані в межах окремого розслідування відповідно до права Союзу або права держави-члена, не вважаються отримувачами; обробка цих даних такими органами державної влади відповідає правилам захисту даних, що застосовуються до відповідної мети обробки;

10) «третя сторона»: фізична або юридична особа, орган державної влади, служба чи інший орган, що не є суб’єктом даних, ані контролером, ані процесором, ані особами, які уповноважені обробляти персональні дані під безпосереднім керівництвом контролера або процесора;

11) «згода» суб’єкта даних: будь-яке вільно виражене, конкретне, поінформоване та недвозначне волевиявлення, за допомогою якого суб’єкт даних шляхом заяви або чіткої ствердної дії погоджується на обробку персональних даних, що його стосуються;

12) «порушення, пов’язане з персональними даними»: порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або несанкціонованого доступу до даних, які передаються, зберігаються або іншим чином обробляються;

13) «генетичні дані»: персональні дані, що стосуються успадкованих або набутих генетичних характеристик фізичної особи, які надають унікальну інформацію про фізіологію або стан здоров’я цієї фізичної особи та які, зокрема, отримані в результаті аналізу біологічного зразка цієї фізичної особи;

14) «біометричні дані»: персональні дані, що є результатом специфічної технічної обробки, стосуються фізичних, фізіологічних або поведінкових ознак фізичної особи, на підставі яких можлива або підтверджується однозначна ідентифікація цієї фізичної особи, як-от зображення обличчя або дані відбитків пальців;

15) «дані про стан здоров’я»: персональні дані, що стосуються фізичного або психічного здоров’я фізичної особи, включаючи дані про надані медичні послуги, які містять інформацію про стан її здоров’я;

16) «основне місцезнаходження»:

а) стосовно контролера, який має філії в більш ніж одній державі-члені, — місце розташування його центральної адміністрації в Союзі, за винятком випадків, коли рішення щодо цілей та засобів обробки персональних даних приймаються в іншій філії контролера, яка також розташована в Союзі, і яка водночас уповноважена виконувати такі рішення, у якому разі філія, де приймаються ці рішення, вважається головною філією;

b) стосовно обробника, який має філії у більш ніж одній державі-члені, — місцезнаходження його центральної адміністрації в Союзі або, якщо обробник не має центральної адміністрації в Союзі, — філія обробника в Союзі, де здійснюються основні операції з обробки в межах діяльності філії обробника, оскільки на обробника покладаються специфічні зобов’язання згідно з цим Регламентом;

17) «представник»: фізична або юридична особа, зареєстрована в Союзі, яка відповідно до статті 27 була письмово призначена контролером або процесором для представництва контролера або процесора стосовно їхніх відповідних зобов’язань згідно з цим Регламентом;

18) «підприємство»: фізична або юридична особа, яка здійснює економічну діяльність, незалежно від її організаційно-правової форми, включаючи товариства (maatschappen) та персональні товариства (persoonsvennootschappen) або об’єднання, які на регулярній основі здійснюють економічну діяльність;

19) «концерн»: підприємство, яке здійснює контроль, та підприємства, щодо яких здійснюється такий контроль;

20) «обов’язкові корпоративні правила»: політика щодо захисту персональних даних, яку впроваджує контролер або процесор, зареєстрований на території держави-члена, стосовно передачі або серій передач персональних даних контролеру або процесору в одній або кількох третіх країнах у межах групи підприємств або групи компаній, що спільно здійснюють економічну діяльність;

21) «наглядовий орган»: незалежний державний орган, створений державою-членом відповідно до статті 51;

22) «залучений наглядовий орган»: наглядовий орган, який бере участь у процесі обробки персональних даних, оскільки:

a) контролер або процесор має місцезнаходження на території держави-члена, де знаходиться цей наглядовий орган;

b) суб’єкти, які перебувають у державі-члені цієї наглядової установи, зазнають або, ймовірно, зазнають суттєвих наслідків внаслідок обробки; або

c) до цього наглядового органу подано скаргу;

23) «транскордонне опрацювання»:

а) обробка персональних даних у межах діяльності філій у більш ніж одній державі-члені контролера або оператора в Союзі, які мають філії у більш ніж одній державі-члені; або

b) обробка персональних даних у межах діяльності одного підрозділу контролера або процесора в Союзі, внаслідок чого суб’єкти даних у більш ніж одній державі-члені зазнають або, ймовірно, зазнають суттєвих наслідків;

24) «обґрунтоване та вмотивоване заперечення»: заперечення проти проєкту рішення щодо наявності порушення цього Регламенту або щодо питання про те, чи відповідає запланований захід стосовно контролера або процесора цьому Регламенту, у якому чітко продемонстровано обсяг ризиків, які проєкт рішення створює для основоположних прав і свобод суб’єктів даних та, у відповідних випадках, для вільного руху персональних даних у межах Союзу;

25) «послуга інформаційного суспільства»: послуга, як визначено у статті 1, пункті 1, підпункті b) Директиви (ЄС) 2015/1535 Європейського Парламенту та Ради (19);

26) «міжнародна організація»: організація та підпорядковані їй органи міжнародного публічного права або інші органи, створені на підставі або відповідно до угоди між двома або більше країнами.

Voor de toepassing van deze verordening wordt verstaan onder:

1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

3) „beperken van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

4) „profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

5) „pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

6) „bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

8) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

9) „ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;

10) „derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

11) „toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

12) „inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

13) „genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

14) „biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

15) „gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;

16) „hoofdvestiging”:

a) met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;

b) met betrekking tot een verwerker die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten;

17) „vertegenwoordiger”: een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening;

18) „onderneming”: een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen;

19) „concern”: een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend;

20) „bindende bedrijfsvoorschriften”: beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen;

21) „toezichthoudende autoriteit”: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie;

22) „betrokken toezichthoudende autoriteit”: een toezichthoudende autoriteit die betrokken is bij de verwerking van persoonsgegevens omdat:

a) de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd;

b) de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of

c) bij die toezichthoudende autoriteit een klacht is ingediend;

23) „grensoverschrijdende verwerking”:

a) verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of

b) verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden;

24) „relevant en gemotiveerd bezwaar”: een bezwaar tegen een ontwerpbesluit over het bestaan van een inbreuk op deze verordening of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening, waarin duidelijk de omvang wordt aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie;

25) „dienst van de informatiemaatschappij”: een dienst als gedefinieerd in artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (19);

26) „internationale organisatie”: een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.