Artikel 2

Uitleg bij artikel 2 AVG

 

Dit artikel geeft samen met artikel 3 AVG aan wanneer de Algemene Verordening Gegevensbescherming van toepassing is. Artikel 3 AVG gaat over de territoriale reikwijdte (waar is de AVG van toepassing?), artikel 2 gaat over op welke handelingen de AVG van toepassing is - de materiële reikwijdte. In lid 1 staat dat de AVG van toepassing is op de verwerking van persoonsgegevens; in leden 2, 3 en 4 staan uitzonderingen. Ook in artikel 23 AVG en hoofdstuk IX van de AVG staan mogelijkheden voor beperkte uitzonderingen op sommige regels in de AVG op nationaal niveau. Daarnaast is artikel 95 relevant waar het gaat om de e-Privacy Richtlijn.

 

Lid 1 stelt dat de AVG van toepassing op de verwerking van persoonsgegevens. Wat verwerking is en wat een persoonsgegeven staat in artikel 4 AVG, waarin de definities staan beschreven. In dat artikel staat ook wat een 'bestand' is. De AVG stelt namelijk dat de regels uit de verordening op alle verwerkingen van persoonsgegevens van toepassing is, als die verwerkingen digitaal, elektronisch of computergestuurd geschiedt. Het doel van de AVG is echter om technologie-neutraal te zijn. Het zou dus in feite niet uit moeten maken hoe of met behulp van welke middelen de persoonsgegevens worden verwerkt (overweging 15). Daarom vallen ook analoge/schriftelijke/offline verwerking van persoonsgegevens onder de Verordening, als dat gestructureerd en geordend geschiedt. Het zomaar wat krabbelen op papier valt daar in principe niet onder.

 

Lid 2 stelt dat de AVG niet van toepassing is als het gaat om het verwerken van persoonsgegevens in het kader van:

 

- (a) de nationale veiligheid (overweging 16)

 

- (b) activiteiten in verband met het gemeenschappelijk

buitenlands- en veiligheidsbeleid van de EU (overweging 16)

 

- (c) als een persoon van vlees en bloed persoonsgegevens

verwerkt voor puur persoonlijke doeleinden, bijvoorbeeld

een adressenboekje bijhoudt op zijn computer (overweging 18)

 

- (d) als het gaat om de verwerking van persoonsgegevens door

politie en justitie, dan is de Politierichtlijn van toepassing (overweging 19)

 

Lid 3 stelt dat de AVG ook niet van toepassing is als er persoonsgegevens worden verwerkt door EU instanties, dan is een andere EU Verordening van toepassing (overweging 17).

 

Lid 4 stelt dat de e-Commerce Richtlijn van toepassing blijft op de aansprakelijkheid van internet providers (overweging 21). Opmerkelijk genoeg maakt de e-Commerce Richtlijn zelf weer een uitzondering voor zaken die gaan over privacy en gegevensbescherming.

Artikel 2 Materieel toepassingsgebied

 

1.Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

 

2.Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:

 

a) in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;

b) door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen;

c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;

d) door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

 

3.Op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie is Verordening (EG) nr. 45/2001 van toepassing. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens worden overeenkomstig artikel 98 aan de beginselen en regels van de onderhavige verordening aangepast.

 

4.Deze verordening laat de toepassing van Richtlijn 2000/31/EG, en met name van de regels in de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van als tussenpersoon optredende dienstverleners onverlet.

Overwegingen

 

(15) Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen.

 

(16) Deze verordening is niet van toepassing op vraagstukken met betrekking tot de bescherming van de grondrechten en de fundamentele vrijheden of het vrije verkeer van persoonsgegevens in verband met niet onder het Unierecht vallende activiteiten, zoals activiteiten betreffende nationale veiligheid. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens die de lidstaten verrichten bij activiteiten in verband met het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie.

 

(17) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (2) is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens, moeten aan de beginselen en regels van de onderhavige verordening worden aangepast en in het licht van de onderhavige verordening worden toegepast. Om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen, moet Verordening (EG) nr. 45/2001 waar nodig worden aangepast zodra de onderhavige verordening is vastgesteld, opdat deze op hetzelfde tijdstip als de onderhavige verordening van toepassing kan worden.

 

(18) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.

 

(19) De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifiek rechtshandeling van de Unie. Deze verordening mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig deze verordening door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van deze verordening valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt. Aangaande de verwerking van persoonsgegevens door die bevoegde instanties voor doeleinden die binnen het toepassingsgebied van deze verordening vallen, moeten de lidstaten meer specifieke bepalingen kunnen handhaven of invoeren om de toepassing van de regels van deze verordening aan te passen. In die bepalingen kunnen meer bepaald specifieke voorschriften voor de verwerking van persoonsgegevens door die bevoegde instanties voor de genoemde andere doeleinden worden vastgesteld, rekening houdend met de grondwettelijke, organisatorische en bestuurlijke structuur van de lidstaat in kwestie. Wanneer de verwerking van persoonsgegevens door privaatrechtelijke organen onder de onderhavige verordening valt, moet deze verordening voorzien in de mogelijkheid dat de lidstaten onder specifieke voorwaarden bij wet vastgestelde verplichtingen en rechten beperken, indien een dergelijke beperking in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter bescherming van specifieke belangen van betekenis, waaronder de openbare veiligheid en de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Dit is bijvoorbeeld van belang in het kader van de bestrijding van witwassen of de werkzaamheden van forensische laboratoria.

 

(21) Deze verordening doet geen afbreuk aan de toepassing van Richtlijn 2000/31/EG van het Europees Parlement en de Raad (2), inzonderheid de regels inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn. Met die richtlijn wordt beoogd bij te dragen tot het beter functioneren van de interne markt door het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarborgen.