EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32016L0680

Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA

OJ L 119, 4.5.2016, p. 89–131 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 04/05/2016

ELI: http://data.europa.eu/eli/dir/2016/680/oj

4.5.2016   

DA

Den Europæiske Unions Tidende

L 119/89


EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/680

af 27. april 2016

om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Regionsudvalget (1),

efter den almindelige lovgivningsprocedure (2), og

ud fra følgende betragtninger:

(1)

Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

(2)

Principperne og reglerne for beskyttelse af fysiske personer i forbindelse med behandling af deres personoplysninger bør, uanset deres nationalitet eller bopæl, respektere deres grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Dette direktiv har til formål at bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed.

(3)

Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger er steget betydeligt. Teknologien giver mulighed for at behandle personoplysninger i et hidtil uset omfang i forbindelse med udøvelsen af aktiviteter såsom at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner.

(4)

Den frie udveksling af personoplysninger mellem kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed i Unionen, og overførsel af sådanne personoplysninger til tredjelande og internationale organisationer, bør lettes samtidig med, at der sikres et højt niveau for beskyttelse af personoplysninger. Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende ramme for beskyttelse af personoplysninger i Unionen, som understøttes af en effektiv håndhævelse.

(5)

Europa-Parlamentets og Rådets direktiv 95/46/EF (3) finder anvendelse på al behandling af personoplysninger i medlemsstaterne både i den offentlige og private sektor. Det finder dog ikke anvendelse på behandling af personoplysninger under udøvelse af aktiviteter, der falder uden for fællesskabsretten, såsom retligt samarbejde i straffesager og politisamarbejde.

(6)

Rådets rammeafgørelse 2008/977/RIA (4) finder anvendelse inden for retligt samarbejde i straffesager og politisamarbejde. Denne rammeafgørelses anvendelsesområde er begrænset til behandling af personoplysninger, der videregives eller stilles til rådighed mellem medlemsstater.

(7)

Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af personoplysninger om fysiske personer og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål bør niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, være ensartet i alle medlemsstater. For at sikre en effektiv beskyttelse af personoplysninger i hele Unionen er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler personoplysninger, samt tilsvarende beføjelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne.

(8)

Artikel 16, stk. 2, i TEUF giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af sådanne oplysninger.

(9)

På det grundlag fastsættes der ved Europa-Parlamentets og Rådets forordning (EU) 2016/679 (5) generelle regler for at beskytte fysiske personer i forbindelse med behandling af personoplysninger og sikre fri udveksling af personoplysninger i Unionen.

(10)

I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri bevægelighed for personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter.

(11)

Det er derfor hensigtsmæssigt at disse områder behandles i et direktiv, der fastsætter særlige regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, idet disse aktiviteters særlige karakter respekteres. Disse kompetente myndigheder kan omfatte ikke blot offentlige myndigheder som judicielle myndigheder, politi eller andre retshåndhævende myndigheder, men også alle andre organer eller enheder, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed eller offentlige beføjelser med henblik på dette direktiv. Hvis det pågældende organ eller den pågældende enhed behandler personoplysninger til andre formål end med henblik på dette direktiv, finder forordning (EU) 2016/679 anvendelse. Forordning (EU) 2016/679 finder derfor anvendelse i tilfælde, hvor et organ eller en enhed indsamler personoplysninger til andre formål og viderebehandler disse personoplysninger for at opfylde en retlig forpligtelse, som det/den er underlagt. For eksempel opbevarer finansielle institutioner med henblik på efterforskning, afsløring eller retsforfølgning af strafbare handlinger visse personoplysninger, som de behandler, og disse personoplysninger videregives kun til de kompetente nationale myndigheder i særlige tilfælde og i henhold til medlemsstaternes nationale ret. Et organ eller en enhed, som behandler personoplysninger på sådanne myndigheders vegne inden for dette direktivs anvendelsesområde, bør være bundet af en kontrakt eller en anden retsakt og af de bestemmelser, der gælder for databehandlere i henhold til dette direktiv, mens anvendelsen af forordning (EU) 2016/679 ikke berøres heraf, for så vidt angår databehandlerens behandlingsaktiviteter uden for dette direktivs anvendelsesområde.

(12)

De aktiviteter, der udføres af politiet eller andre retshåndhævende myndigheder, er hovedsageligt fokuseret på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, herunder politiaktiviteter uden forudgående viden om, hvorvidt et forhold udgør en strafbar handling eller ej. Sådanne aktiviteter kan også omfatte udøvelsen af beføjelser gennem tvangsindgreb som f.eks. politiaktiviteter i forbindelse med demonstrationer, store sportsbegivenheder og uroligheder. De omfatter også opretholdelse af lov og orden som en opgave, der er overdraget til politiet eller andre retshåndhævende myndigheder, hvor det er nødvendigt for at beskytte mod og forebygge trusler mod den offentlige sikkerhed og de ved lov beskyttede grundlæggende samfundsinteresser, som kan føre til en strafbar handling. Medlemsstater kan overdrage andre opgaver, der ikke nødvendigvis foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, til de kompetente myndigheder, således at behandlingen af personoplysninger til disse andre formål, for så vidt de er omfattet af EU-retten, falder ind under anvendelsesområdet for forordning (EU) 2016/679.

(13)

En strafbar handling som omhandlet i dette direktiv bør være et selvstændigt EU-retligt begreb som fortolket af Den Europæiske Unions Domstol (»Domstolen«).

(14)

Da dette direktiv ikke bør finde anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for EU-retten, bør aktiviteter vedrørende statens sikkerhed, aktiviteter udført af agenturer eller enheder, der beskæftiger sig med spørgsmål om statens sikkerhed, og medlemsstaternes behandling af personoplysninger ved udførelsen af aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i traktaten om Den Europæiske Union (TEU), ikke anses for at være aktiviteter, der falder inden for dette direktivs anvendelsesområde.

(15)

For at sikre et ensartet beskyttelsesniveau for fysiske personer ved hjælp af rettigheder, som kan håndhæves i hele Unionen, og for at hindre, at forskelle hæmmer den frie udveksling af personoplysninger mellem kompetente myndigheder, bør dette direktiv fastsætte harmoniserede regler for beskyttelse og fri udveksling af personoplysninger, der behandles med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. Den indbyrdes tilnærmelse af medlemsstaternes lovgivninger bør ikke resultere i en forringelse af den beskyttelse af personoplysninger, de indeholder, men bør tværtimod søge at sikre et højt beskyttelsesniveau i Unionen. Medlemsstaterne bør ikke forhindres i at fastsætte højere standarder end dem, der er indeholdt i dette direktiv, for beskyttelse af den registreredes rettigheder og frihedsrettigheder med hensyn til kompetente myndigheders behandling af personoplysninger.

(16)

Dette direktiv berører ikke princippet om aktindsigt i officielle dokumenter. I henhold til forordning (EU) 2016/679 kan personoplysninger i officielle dokumenter, som opbevares af en offentlig myndighed eller et offentligt eller privat organ med henblik på udførelse af en opgave i samfundets interesse, videregives af denne myndighed eller dette organ i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller organet er underlagt, for at forene aktindsigt i officielle dokumenter med retten til beskyttelse af personoplysninger.

(17)

Den beskyttelse, som dette direktiv yder i forbindelse med behandling af personoplysninger, bør finde anvendelse på fysiske personer uanset nationalitet eller bopæl.

(18)

For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af dette direktivs anvendelsesområde.

(19)

Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (6) finder anvendelse på behandling af personoplysninger, der foretages af Den Europæiske Unions institutioner, organer, kontorer og agenturer. Forordning (EF) nr. 45/2001 og andre EU-retsakter, der finder anvendelse på en sådan behandling af personoplysninger, bør tilpasses til principperne og bestemmelserne i forordning (EU) 2016/679.

(20)

Dette direktiv forhindrer ikke medlemsstaterne i at præcisere behandlingsaktiviteter og behandlingsprocedurer i deres nationale regler om strafferetspleje vedrørende behandling af personoplysninger ved domstole og andre judicielle myndigheder, navnlig for så vidt angår personoplysninger, der er indeholdt i en retsafgørelse eller et register i forbindelse med straffesager.

(21)

Principperne for databeskyttelse bør gælde enhver information om en identificeret eller identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom omkostninger ved og tid, der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling. Databeskyttelsesprincipperne bør derfor ikke gælde for anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres.

(22)

Offentlige myndigheder, til hvem personoplysninger videregives i overensstemmelse med en retlig forpligtelse i forbindelse med udøvelsen af deres officielle hverv, såsom skatte- og toldmyndigheder, finansielle efterforskningsenheder, uafhængige administrative myndigheder eller finansielle markedsmyndigheder, der er ansvarlige for regulering af og tilsyn med værdipapirmarkederne, bør ikke betragtes som værende modtagere, hvis de modtager personoplysninger, der er nødvendige som led i en isoleret forespørgsel af almen interesse i overensstemmelse med EU-retten eller medlemsstaternes nationale ret. Anmodninger om videregivelse af oplysninger sendt af de offentlige myndigheder bør altid være skriftlige, begrundede og lejlighedsvise og bør ikke vedrøre et register som helhed eller føre til samkøring af registre. Disse offentlige myndigheders behandling af personoplysninger bør være i overensstemmelse med de gældende databeskyttelsesregler afhængigt af formålet med behandlingen.

(23)

Genetiske data bør defineres som personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den pågældende fysiske persons fysiologi eller helbred, og som foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person, navnlig en analyse på kromosomniveau, af deoxyribonukleinsyre (DNA) eller ribonukleinsyre (RNA), eller efter en analyse af et andet element til indhentning af lignende oplysninger. I betragtning af genetiske oplysningers kompleksitet og følsomhed er der stor risiko for misbrug og genanvendelse til forskellige formål fra den dataansvarliges side. Enhver forskelsbehandling på grund af genetiske anlæg bør i princippet være forbudt.

(24)

Helbredsoplysninger bør omfatte alle personoplysninger om den registreredes helbredstilstand, som giver oplysninger om den registreredes tidligere, nuværende eller fremtidige fysiske eller mentale helbredstilstand. Dette omfatter oplysninger om den fysiske person indsamlet i løbet af registreringen af denne med henblik på eller under levering af sundhedsydelser, jf. Europa-Parlamentets og Rådets direktiv 2011/24/EU (7), til den fysiske person; et nummer, symbol eller særligt mærke, der tildeles en fysisk person for entydigt at identificere den fysiske person til sundhedsformål; oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder fra genetiske data og biologiske prøver; og enhver oplysninger om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en sundhedsfaglig behandling eller den registreredes fysiologiske eller biomedicinske tilstand uafhængigt af kilden hertil, f.eks. fra en læge eller anden sundhedsperson, et hospital, medicinsk udstyr eller in vitro-diagnostik.

(25)

Alle medlemsstater er tilknyttet Den Internationale Kriminalpolitiorganisation (Interpol). Med henblik på at opfylde sin funktion modtager, opbevarer og videregiver Interpol personoplysninger for at bistå de kompetente myndigheder med at forebygge og bekæmpe international kriminalitet. Det er derfor relevant at styrke samarbejdet mellem Unionen og Interpol ved at fremme en effektiv udveksling af personoplysninger, samtidig med at overholdelsen af de grundlæggende rettigheder og frihedsrettigheder med hensyn til elektronisk behandling af personoplysninger sikres. Når der videregives personoplysninger fra Unionen til Interpol og til lande, der er medlemmer af Interpol, bør dette direktiv, navnlig bestemmelserne om internationale overførsler, finde anvendelse. Dette direktiv bør ikke berøre de særlige regler, der er fastsat i Rådets fælles holdning 2005/69/RIA (8) og Rådets afgørelse 2007/533/RIA (9).

(26)

Enhver behandling af personoplysninger skal være lovlig, rimelig og gennemsigtig i forhold til de berørte fysiske personer og må kun finde sted til specifikke formål fastlagt ved lov. Det forhindrer ikke i sig selv de retshåndhævende myndigheder i at udføre aktiviteter som f.eks. hemmelige undersøgelser eller videoovervågning. Disse aktiviteter kan udføres med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, så længe de er fastlagt ved lov og udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons legitime interesser. Databeskyttelsesprincippet om rimelig behandling er et særskilt begreb i forhold til retten til en retfærdig rettergang som defineret i chartrets artikel 47 og artikel 6 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (EMRK). Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af deres personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med behandlingen. De konkrete formål med behandlingen af personoplysningerne bør navnlig være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige og relevante i forhold til de formål, hvortil de behandles. Det bør navnlig sikres, at de indsamlede personoplysninger ikke er for omfattende og ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de behandles. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. For at sikre, at oplysningerne ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller regelmæssig revision. Medlemsstaterne bør fastsætte de fornødne garantier for personoplysninger, der i længere perioder opbevares til arkivformål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug.

(27)

Med henblik på forebyggelse, efterforskning og retsforfølgning af strafbare handlinger er det nødvendigt, at de kompetente myndigheder behandler personoplysninger, der er indsamlet i forbindelse med forebyggelse, efterforskning, afsløring eller retsforfølgning af konkrete strafbare handlinger, i en bredere sammenhæng for derved at få en forståelse af kriminelle handlinger og sammenkoble forskellige strafbare handlinger, som er blevet afsløret.

(28)

For at opretholde sikkerheden i forhold til behandling og hindre behandling i strid med dette direktiv bør personoplysninger behandles på en måde, der garanterer et tilstrækkeligt niveau af sikkerhed og fortrolighed, herunder hindring af uautoriseret adgang til eller anvendelse af personoplysninger og af det udstyr, der anvendes til behandlingen, og under hensyntagen til det aktuelle tekniske niveau og den teknologi, der er tilgængelig, implementeringsomkostningerne i forbindelse med risiciene ved og karakteren af de personoplysninger, der skal beskyttes.

(29)

Personoplysninger bør indsamles til udtrykkeligt angivne og legitime formål inden for dette direktivs anvendelsesområde og bør ikke behandles til formål, der er uforenelige med formålene med at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. Hvis personoplysninger behandles af den samme eller en anden dataansvarlig til et formål inden for dette direktivs anvendelsesområde, men som adskiller sig fra det, hvortil de er indsamlet, bør en sådan behandling være tilladt, forudsat at en sådan behandling er godkendt i overensstemmelse med gældende retlige bestemmelser og er nødvendig for og står i et rimeligt forhold til dette andet formål.

(30)

Princippet om oplysningernes rigtighed bør anvendes under hensyntagen til den pågældende behandlings karakter og formål. Navnlig i retssager er udsagn, der indeholder personoplysninger, baseret på en subjektiv opfattelse af fysiske personer, og det er ikke altid muligt at kontrollere dem. Kravet om oplysningernes rigtighed bør derfor ikke vedrøre et udsagns rigtighed, men blot det forhold, at der er fremsat et konkret udsagn.

(31)

Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde indebærer i sagens natur behandling af personoplysninger om forskellige kategorier af registrerede. Der bør således, hvis det er relevant og så vidt muligt, sondres klart mellem personoplysninger om forskellige kategorier af registrerede såsom mistænkte, personer, der er dømt for en strafbar handling, ofre og andre parter som f.eks. vidner, personer, der ligger inde med relevante oplysninger eller kontakter, eller mistænktes og dømte kriminelles ledsagepersoner. Dette bør ikke være til hinder for anvendelsen af princippet om uskyldsformodning, som er sikret ved chartret og ved EMRK, som fortolket i retspraksis ved henholdsvis Domstolen og Den Europæiske Menneskerettighedsdomstol.

(32)

De kompetente myndigheder bør sikre, at personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. For at sikre beskyttelsen af fysiske personer, rigtigheden, fuldstændigheden, eller graden af ajourføring og pålideligheden af de personoplysninger, der videregives eller stilles til rådighed, bør de kompetente myndigheder så vidt muligt tilføje nødvendige oplysninger ved enhver videregivelse af personoplysninger.

(33)

Når dette direktiv henviser til medlemsstaternes nationale ret, et retsgrundlag eller en lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der er vedtaget af et parlament, med forbehold for krav i henhold til den forfatningsmæssige orden i den pågældende medlemsstat. En sådan national ret i medlemsstaterne, et sådant retsgrundlag eller en sådan lovgivningsmæssig foranstaltning bør imidlertid være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig for de personer, der er omfattet af dets/dens anvendelsesområde, jf. retspraksis fra Domstolen og Den Europæiske Menneskerettighedsdomstol. Medlemsstaternes nationale ret, som regulerer behandling af personoplysninger inden for dette direktivs anvendelsesområde, bør som minimum angive målene, de personoplysninger, der skal behandles, formålene med behandlingen og procedurerne for sikring af personoplysningernes integritet og fortrolighed samt procedurerne for deres tilintetgørelse og derved i tilstrækkelig grad sikre oplysningerne mod risikoen for misbrug og vilkårlighed.

(34)

Kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder at beskytte mod eller forebygge trusler mod den offentlige sikkerhed, bør dække enhver aktivitet eller række af aktiviteter, med eller uden brug af automatisk behandling, som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, sammenstilling eller samkøring, begrænsning af behandling, sletning eller tilintetgørelse. Bestemmelserne i dette direktiv bør navnlig finde anvendelse på videregivelse af personoplysninger med henblik på dette direktiv til en modtager, der ikke er omfattet af dette direktiv. En sådan modtager bør omfatte en fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ, som personoplysningerne lovligt videregives til af den kompetente myndighed. Hvis personoplysningerne oprindeligt blev indsamlet af en kompetent myndighed til et af dette direktivs formål, bør forordning (EU) 2016/679 finde anvendelse på behandlingen af disse oplysninger til andre formål end med henblik på dette direktiv, hvis en sådan behandling er hjemlet i EU-retten eller medlemsstaternes nationale ret. Bestemmelserne i forordning (EU) 2016/679 bør navnlig finde anvendelse på videregivelse af personoplysninger til formål, der ikke er omfattet af dette direktiv. Forordning (EU) 2016/679 bør finde anvendelse på behandling af personoplysninger, der udføres af en modtager, der ikke er en kompetent myndighed, eller der ikke fungerer som en sådan med henblik på dette direktiv, og til hvilken en kompetent myndighed lovligt videregiver personoplysninger. Ved gennemførelsen af dette direktiv bør medlemsstaterne også yderligere kunne præcisere anvendelsen af bestemmelserne i forordning (EU) 2016/679 med forbehold af de betingelser, som er fastsat i forordningen.

(35)

For at være lovlig bør en behandling af personoplysninger i medfør af dette direktiv være nødvendig for en kompetent myndigheds udførelse af en opgave i samfundets interesse på grundlag af EU-retten eller medlemsstaternes nationale ret med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. Disse aktiviteter bør omfatte beskyttelsen af den registreredes vitale interesser. Udførelsen af opgaverne med at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, som institutionelt er tillagt de kompetente myndigheder ved lov, gør det muligt for disse myndigheder at kræve, at fysiske personer efterlever de anmodninger, der fremsættes. I så fald bør den registreredes samtykke som defineret i forordning (EU) 2016/679 ikke udgøre et retsgrundlag for de kompetente myndigheders behandling af personoplysninger. Hvis det kræves, at den registrerede opfylder en retlig forpligtelse, har den registrerede ikke et reelt og frit valg, hvorfor den registreredes reaktion ikke kan anses for at være en frivillig viljetilkendegivelse. Dette bør ikke forhindre medlemsstaterne i ved lov at fastsætte bestemmelser om, at den registrerede kan acceptere behandling af vedkommendes personoplysninger med henblik på dette direktiv, som f.eks. DNA-test i strafferetlige efterforskninger eller elektronisk overvågning af vedkommendes geografiske position ved elektronisk fodlænke med henblik på fuldbyrdelse af strafferetlige sanktioner.

(36)

Medlemsstaterne bør, når EU-retten eller medlemsstatens nationale ret, der finder anvendelse for den videregivende kompetente myndighed, fastsætter særlige vilkår, der finder anvendelse under særlige omstændigheder på behandling af personoplysninger, såsom anvendelse af regler for behandling af oplysninger, fastsætte bestemmelser om, at den videregivende kompetente myndighed underretter modtageren af sådanne personoplysninger om disse vilkår og kravet om at opfylde dem. Sådanne vilkår kunne f.eks. indebære et forbud mod at videregive personoplysninger til andre, eller at anvende dem til andre formål end dem, på baggrund af hvilke de blev videregivet til modtageren, eller at underrette den registrerede i tilfælde af en begrænsning af retten til oplysninger uden forudgående godkendelse fra den videregivende kompetente myndighed. Disse forpligtelser bør også finde anvendelse for overførsler fra den videregivende kompetente myndighed til modtagere i tredjelande eller internationale organisationer. Medlemsstaterne bør sikre, at den videregivende kompetente myndighed ikke anvender sådanne betingelser på modtagere i andre medlemsstater eller på agenturer, kontorer og organer, der er oprettet i henhold til afsnit V, kapitel 4 og 5, i TEUF, bortset fra de betingelser, der gælder for lignende videregivelser af oplysninger inden for den pågældende kompetente myndigheds medlemsstat.

(37)

Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandlingen af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Disse oplysninger bør omfatte personoplysninger om racemæssig eller etnisk oprindelse, idet anvendelsen af udtrykket »racemæssig oprindelse« i dette direktiv ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Sådanne personoplysninger bør ikke behandles, medmindre behandling er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder, der er fastsat ved lov, og er tilladt i tilfælde hjemlet ved lov; hvis ikke allerede er hjemlet i henhold til en sådan lov, behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser; eller behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede. Fornødne garantier for den registreredes rettigheder og frihedsrettigheder kan omfatte muligheden for kun at indsamle disse oplysninger i forbindelse med andre oplysninger om den pågældende fysiske person, muligheden for tilstrækkelig sikring af de indsamlede oplysninger, skærpede regler for den kompetente myndigheds personales adgang til oplysningerne og forbud mod videregivelse af disse oplysninger. Behandlingen af sådanne oplysninger bør desuden tillades ved lov, hvis den registrerede udtrykkeligt har givet sit samtykke til en behandling, som er særlig indgribende for vedkommende. Den registreredes samtykke bør dog ikke i sig selv udgøre et retsgrundlag for de kompetente myndigheders behandling af sådanne følsomme personoplysninger.

(38)

Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har negative retsvirkninger eller som betydeligt påvirker den pågældende. En sådan behandling bør under alle omstændigheder ledsages af de fornødne garantier, herunder specifik underretning af den registrerede og ret til menneskelig indgriben, navnlig til at fremkomme med sine synspunkter, til at få en forklaring på den afgørelse, der er truffet efter en sådan evaluering, og til at bestride afgørelsen. Profilering, der fører til forskelsbehandling af fysiske personer på grund af personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til de grundlæggende rettigheder og frihedsrettigheder, bør være forbudt på de betingelser, der er fastsat i chartrets artikel 21 og 52.

(39)

For at sætte den registrerede i stand til at udøve sine rettigheder, bør alle oplysninger til den registrerede være nemt tilgængelige, herunder på den dataansvarliges websted, og letforståelige, under anvendelse af et klart og forståeligt sprog. Sådanne oplysninger bør tilpasses behovene hos sårbare personer såsom børn.

(40)

Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i medfør af de bestemmelser, der vedtages i henhold til dette direktiv, herunder mekanismer til at anmode om og i givet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af personoplysninger og begrænsning af behandling. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra en registreret uden unødig forsinkelse, medmindre den dataansvarlige anvender begrænsninger af den registreredes rettigheder i overensstemmelse med dette direktiv. Hvis der imidlertid er tale om anmodninger, som er åbenbart grundløse eller uforholdsmæssige, som f.eks. når den registrerede på urimelig vis og gentagne gange anmoder om oplysninger, eller hvis den registrerede misbruger sin ret til at modtage oplysninger, f.eks. ved at give urigtige eller vildledende oplysninger ved fremsættelsen af anmodningen, bør den dataansvarlige kunne opkræve et rimeligt gebyr eller afvise at efterkomme anmodningen.

(41)

Hvis den dataansvarlige anmoder om supplerende oplysninger, der er nødvendige for at bekræfte den registreredes identitet, bør sådanne oplysninger kun behandles til dette specifikke formål og bør ikke opbevares længere end nødvendigt til dette formål.

(42)

Som minimum bør følgende oplysninger gøres tilgængelige for den registrerede: den dataansvarliges identitet, behandlingsaktivitetens eksistens, formålene med behandlingen, retten til at indgive en klage og retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling. Dette kan ske på den kompetente myndigheds websted. Den registrerede bør endvidere i konkrete sager og for at muliggøre udøvelsen af vedkommendes rettigheder oplyses om retsgrundlaget for behandlingen og om, hvor længe oplysningerne opbevares, for så vidt som disse yderligere oplysninger er nødvendige under hensyntagen til de specifikke omstændigheder, hvorunder oplysningerne behandles med henblik på at sikre den registrerede en rimelig behandling af oplysningerne.

(43)

En fysisk person bør have ret til indsigt i oplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. Enhver registreret bør derfor navnlig have ret til at kende og blive underrettet om de formål, hvortil oplysningerne behandles, perioden, hvor oplysningerne behandles, og modtagerne af oplysningerne, herunder sådanne i tredjelande. Når sådan en underretning omfatter meddelelse om personoplysningernes oprindelse, bør oplysningerne ikke afsløre identiteten på fysiske personer, navnlig fortrolige kilder. Med henblik på overholdelse af denne ret er det tilstrækkeligt, at den registrerede er i besiddelse af et fuldstændigt resumé af disse oplysninger i en letforståelig form, det vil sige en form, der giver den pågældende registrerede mulighed for at blive opmærksom på disse oplysninger og kontrollere, at de er korrekte og behandlet i overensstemmelse med dette direktiv, så det er muligt for den pågældende at udøve de rettigheder, der tilkommer vedkommende i henhold til dette direktiv. Et sådant resumé kan have form af en kopi af de personoplysninger, der behandles.

(44)

Medlemsstaterne bør have beføjelse til at vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller afskærer meddelelse af oplysninger til de registrerede eller helt eller delvis begrænser deres ret til indsigt i oplysningerne, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser, for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, for at undgå, at forebyggelsen, efterforskningen, afsløringen eller retsforfølgningen af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner, for at beskytte den offentlige sikkerhed eller statens sikkerhed eller for at beskytte andres rettigheder og frihedsrettigheder. Den dataansvarlige bør gennem en konkret og individuel undersøgelse af de enkelte tilfælde vurdere, hvorvidt indsigtsretten helt eller delvis bør begrænses.

(45)

Ethvert afslag på eller begrænsning af indsigt bør i princippet meddeles den registrerede skriftligt og omfatte de faktuelle eller retlige årsager til afgørelsen.

(46)

Enhver begrænsning af den registreredes rettigheder skal overholde chartret og EMRK som fortolket i retspraksis henholdsvis ved Domstolen og ved Den Europæiske Menneskerettighedsdomstol og navnlig respekten for det væsentlige indhold i disse rettigheder og frihedsrettigheder.

(47)

En fysisk person bør have ret til at få berigtiget urigtige personoplysninger om sig selv, navnlig når det angår faktiske omstændigheder, og til at få slettet oplysninger, hvis behandlingen af sådanne oplysninger overtræder dette direktiv. Retten til berigtigelse bør imidlertid ikke berøre eksempelvis indholdet af et vidneudsagn. En fysisk person bør også have ret til begrænsning af behandlingen, hvis vedkommende bestrider personoplysningers rigtighed, og det ikke kan konstateres, om oplysningerne er rigtige eller ej, eller hvis personoplysningerne skal bevares som bevismiddel. I stedet for at slette personoplysninger bør behandling navnlig begrænses, hvis der i et konkret tilfælde er rimelig grund til at tro, at sletning vil kunne påvirke den registreredes legitime interesser. I så fald bør begrænsede oplysninger kun behandles til det formål, der gjorde, at de ikke blev slettet. Metoderne til at begrænse behandlingen af personoplysninger kan bl.a. omfatte, at udvalgte oplysninger flyttes til et andet behandlingssystem, f.eks. til arkivformål, eller at udvalgte oplysninger gøres utilgængelige. I automatiske registre bør behandling i princippet begrænses ved hjælp af tekniske hjælpemidler. Det forhold, at behandlingen af personoplysningerne er begrænset, bør angives i registret på en sådan måde, at det tydeligt fremgår, at behandlingen af personoplysningerne er begrænset. En sådan berigtigelse eller sletning af personoplysninger eller begrænsning af behandling bør meddeles de modtagere, hvortil oplysningerne er videregivet, og de kompetente myndigheder, hvorfra de urigtige oplysninger stammer. Den dataansvarlige bør også afstå fra yderligere udbredelse af sådanne oplysninger.

(48)

Hvis den dataansvarlige nægter en registreret dennes ret til oplysninger, indsigt i eller berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, bør den registrerede have ret til at anmode om, at den nationale tilsynsmyndighed kontrollerer, at behandlingen af oplysningerne er lovlig. Den registrerede bør underrettes om denne rettighed. Hvis tilsynsmyndigheden handler på vegne af den registrerede, bør den registrerede som minimum underrettes af den pågældende tilsynsmyndighed om, at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse. Tilsynsmyndigheden bør også underrette den registrerede om adgangen til retsmidler.

(49)

Hvis personoplysningerne behandles under en strafferetlig efterforskning og strafferetssag, bør medlemsstaterne kunne fastsætte bestemmelser om, at udøvelsen af retten til oplysninger, indsigt i og berigtigelse eller, sletning af personoplysninger og begrænsning af behandling skal udføres i henhold til de nationale retsplejeregler.

(50)

Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og bør kunne påvise, at behandlingsaktiviteterne overholder dette direktiv. Sådanne foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål samt risikoen for fysiske personers rettigheder og frihedsrettigheder. De foranstaltninger, som den dataansvarlige træffer, bør omfatte udarbejdelse og gennemførelse af særlige garantier vedrørende behandling af personoplysninger om sårbare fysiske personer såsom børn.

(51)

Risiciene for fysiske personers rettigheder og frihedsrettigheder, der er af varierende sandsynlighed og alvor, kan opstå som følge af behandling af oplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser; hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger; hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold; hvis genetiske data eller biometriske data behandles for entydigt at identificere en person, eller hvis helbredsoplysninger eller oplysninger om seksuelle forhold og seksuel orientering, straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger behandles; hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler; hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn; eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede.

(52)

Risikoens sandsynlighed og alvor bør bestemmes med henvisning til behandlingens karakter, omfang, sammenhæng og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter indebærer en høj risiko. En høj risiko er en særlig risiko for skade på de registreredes rettigheder og frihedsrettigheder.

(53)

Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sikre, at dette direktivs krav opfyldes. Gennemførelsen af sådanne foranstaltninger bør ikke alene afhænge af økonomiske hensyn. For at kunne påvise overholdelse af dette direktiv bør den dataansvarlige vedtage interne politikker og gennemføre foranstaltninger, som især lever op til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Hvis den dataansvarlige har foretaget en konsekvensanalyse vedrørende databeskyttelse i henhold til dette direktiv, bør der tages behørigt hensyn til resultaterne heraf i forbindelse med udviklingen af disse foranstaltninger og procedurer. Foranstaltningerne kan bl.a. bestå i anvendelse af pseudonymisering tidligst muligt. Anvendelse af pseudonymisering med henblik på dette direktiv kan tjene som et redskab, der navnlig kan lette fri udveksling af personoplysninger inden for området med frihed, sikkerhed og retfærdighed.

(54)

Beskyttelse af registreredes rettigheder og frihedsrettigheder samt dataansvarliges og databehandlernes ansvar, herunder erstatningsansvar, også i forbindelse med tilsynsmyndighedernes kontrol og foranstaltninger, kræver en klar fordeling af de ansvarsområder, der er fastsat i dette direktiv, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandlingen sammen med andre dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig.

(55)

En databehandlers behandling bør være omfattet af et retligt dokument, herunder en kontrakt, der binder databehandleren til den dataansvarlige, og som navnlig fastlægger, at databehandleren alene bør handle efter instruks fra den dataansvarlige. Databehandleren bør tage hensyn til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.

(56)

For at påvise overholdelse af dette direktiv bør den dataansvarlige eller databehandleren føre fortegnelser over alle kategorier af behandlingsaktiviteter under sit ansvar. Hver dataansvarlig og databehandler bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille disse fortegnelser til rådighed for tilsynsmyndigheden, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter. Den dataansvarlige eller databehandler, der behandler personoplysninger i ikkeautomatiske databehandlingssystemer, bør have indført effektive metoder til at påvise, at behandlingen er lovlig, udøve egenkontrol og sikre dataintegriteten og datasikkerheden, såsom logning eller andre former for fortegnelser.

(57)

Der bør som minimum ske logning af aktiviteter i automatiske databehandlingssystemer såsom indsamling, ændring, søgning, videregivelse, herunder overførsel, samkøring eller sletning. Navnet på den person, som har søgt eller videregivet personoplysninger, bør logges, og herudfra bør det være muligt at fastlægge begrundelsen for behandlingsaktiviteterne. Loggene bør udelukkende anvendes til at kontrollere, om databehandlingen er lovlig, til egenkontrol, til at sikre dataintegriteten og datasikkerheden og i forbindelse med straffesager. Egenkontrol omfatter også kompetente myndigheders interne disciplinærsager.

(58)

Den dataansvarlige bør foretage en konsekvensanalyse af databeskyttelsen, hvis behandlingsaktiviteterne sandsynligvis vil indebære en høj risiko for den registreredes rettigheder og frihedsrettigheder som følge af deres karakter, omfang eller formål, som navnlig bør omfatte de foranstaltninger, garantier og mekanismer, der er planlagt for at sikre beskyttelsen af personoplysninger, og at påvise overholdelse af dette direktiv. Konsekvensanalyser bør omfatte behandlingsaktiviteters relevante systemer og processer, men ikke enkeltsager.

(59)

For at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder bør den dataansvarlige eller databehandleren i visse tilfælde høre tilsynsmyndigheden inden behandlingen.

(60)

For at opretholde sikkerheden og forhindre behandling i strid med dette direktiv bør den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og bør gennemføre foranstaltninger, der kan begrænse disse risici, som f.eks. kryptering. Sådanne foranstaltninger bør sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, og tage hensyn til det aktuelle tekniske niveau, implementeringsomkostningerne i forhold til risikoen og karakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisici bør der tages hensyn til de risici, som behandling af oplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade. Den dataansvarlige og databehandleren bør sikre, at behandlingen af personoplysninger ikke udføres af uautoriserede personer.

(61)

Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller -svig, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, eller andre væsentlige økonomiske eller sociale konsekvenser for den berørte fysiske person. Så snart den dataansvarlige bliver bekendt med, at der er sket et brud på persondatasikkerheden, bør den dataansvarlige derfor anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden uden unødig forsinkelse og om muligt inden for 72 timer efter, at denne er blevet bekendt med det, medmindre den dataansvarlige i overensstemmelse med ansvarlighedsprincippet kan påvise, at bruddet på persondatasikkerheden sandsynligvis ikke vil indebære en risiko for fysiske personers rettigheder og frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden for 72 timer, bør den ledsages af en begrundelse for forsinkelsen, og oplysningerne kan gives trinvis uden unødig yderligere forsinkelse.

(62)

Fysiske personer bør uden unødig forsinkelse oplyses derom, når bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for de fysiske personers rettigheder og frihedsrettigheder, med henblik på at give dem mulighed for at træffe de nødvendige forholdsregler. Underretningen bør beskrive karakteren af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte fysiske person med henblik på at begrænse de mulige skadevirkninger. Underretninger til registrerede bør gives, så snart det med rimelighed er muligt, i tæt samarbejde med tilsynsmyndigheden og i overensstemmelse med retningslinjer, der er udstukket af denne eller andre relevante myndigheder. Eksempelvis kræver behovet for at begrænse en umiddelbar risiko for skade omgående underretning af de registrerede, mens behovet for at gennemføre passende foranstaltninger mod fortsatte eller lignende brud på persondatasikkerheden kan begrunde en længere frist for underretningen. Hvor det ikke er muligt at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer, at undgå, at forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner skades, at beskytte den offentlige sikkerhed eller statens sikkerhed eller at beskytte andres rettigheder og frihedsrettigheder ved at udsætte eller begrænse underretningen af brud på persondatasikkerheden til den berørte fysiske person, kan denne underretning under særlige omstændigheder udelades.

(63)

Den dataansvarlige bør udpege en person, der skal hjælpe denne med at overvåge, at de bestemmelser, der vedtages i henhold til dette direktiv, overholdes internt, medmindre en medlemsstat beslutter at fritage domstole og andre uafhængige judicielle myndigheder, når de udfører deres judicielle opgaver. Denne person kan være en af den dataansvarliges eksisterende medarbejdere, som har fået særlig uddannelse inden for databeskyttelsesret og -praksis for at tilegne sig ekspertise på dette område. Den nødvendige ekspertise fastlægges navnlig i henhold til den databehandling, der skal udføres, og den beskyttelse, der kræves for de personoplysninger, som den dataansvarlige behandler. Vedkommendes opgaver vil kunne udføres på deltid eller fuldtid. Flere dataansvarlige kan udpege en fælles databeskyttelsesansvarlig i overensstemmelse med deres struktur og størrelse, for eksempel i tilfælde af fælles ressourcer i centrale enheder. Denne person kan også udpeges til forskellige stillinger i de berørte dataansvarliges struktur. Denne person bør hjælpe den dataansvarlige og de medarbejdere, der behandler personoplysninger, ved at oplyse og rådgive dem om opfyldelse af deres relevante databeskyttelsesforpligtelser. Disse databeskyttelsesrådgivere bør være i stand til at udøve deres opgaver på uafhængig vis i henhold til medlemsstaternes nationale ret.

(64)

Medlemsstaterne bør sikre, at overførsel af personoplysninger til et tredjeland eller til en international organisation kun sker, hvis det er nødvendigt for at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, og at den dataansvarlige i det pågældende tredjeland eller den pågældende internationale organisation er en kompetent offentlig myndighed som defineret i dette direktiv. Der bør kun finde overførsel sted ved kompetente myndigheder, der fungerer som dataansvarlige, medmindre databehandlere har fået udtrykkelige instrukser om overførsel på vegne af dataansvarlige. En sådan overførsel kan finde sted i de tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjeland eller den pågældende internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, hvis der er indført de fornødne garantier eller hvis der gælder undtagelser i særlige situationer. Når personoplysninger videregives fra Unionen til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, må det beskyttelsesniveau for fysiske personer, som er fastsat i Unionen i medfør af dette direktiv, ikke undermineres, herunder i tilfælde af videreoverførsel af personoplysninger fra tredjelandet eller den internationale organisation til dataansvarlige eller databehandlere i det samme eller et andet tredjeland eller en anden international organisation.

(65)

Hvis der overføres personoplysninger fra en medlemsstat til tredjelande eller internationale organisationer, bør denne overførsel principielt kun finde sted, efter at den medlemsstat, hvor oplysningerne blev indsamlet, har godkendt overførslen. Af hensyn til et effektivt samarbejde på retshåndhævelsesområdet bør den kompetente myndighed være i stand til at overføre de relevante personoplysninger til det pågældende tredjeland eller den pågældende internationale organisation uden en sådan forudgående godkendelse i tilfælde, hvor truslen mod den offentlige sikkerhed i en medlemsstat eller et tredjeland eller mod en medlemsstats væsentlige interesser er af en så hastende karakter, at det er umuligt at indhente en forudgående godkendelse i tide. Medlemsstaterne bør fastsætte bestemmelser om, at alle særlige betingelser vedrørende overførslen bør meddeles til tredjelande eller internationale organisationer. Videreoverførsel af personoplysninger bør være genstand for forudgående godkendelse af den kompetente myndighed, som foretog den oprindelige overførsel. Når der træffes afgørelse om en anmodning om tilladelse til videreoverførsel, bør den kompetente myndighed, som foretog den oprindelige overførsel, tage behørigt hensyn til alle relevante faktorer, herunder den strafbare handlings grovhed, de særlige betingelser, der gælder for den oprindelige overførsel, og det formål, hvortil oplysningerne oprindeligt blev overført, karakteren af og betingelserne for fuldbyrdelsen af den strafferetlige sanktion og beskyttelsesniveauet for personoplysninger i det tredjeland eller den internationale organisation, som personoplysningerne videreoverføres til. Den kompetente myndighed, som foretog den oprindelige overførsel, bør også kunne fastsætte særlige betingelser for videreoverførselen. Sådanne særlige betingelser kan f.eks. beskrives i regler for behandling af oplysninger.

(66)

Kommissionen bør med virkning for hele Unionen træffe afgørelse om, at visse tredjelande, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår de tredjelande eller internationale organisationer, der vurderes at have et sådant beskyttelsesniveau. I sådanne tilfælde bør personoplysninger kunne overføres til disse lande uden yderligere godkendelse, undtagen når en anden medlemsstat, hvor oplysningerne blev indsamlet, skal godkende overførslen.

(67)

I overensstemmelse med de grundlæggende værdier, som Unionen bygger på, navnlig beskyttelse af menneskerettighederne, bør Kommissionen i sin vurdering af et tredjeland eller et område eller en specifik sektor i et tredjeland tage hensyn til, hvordan et bestemt tredjeland efterlever retsstatsprincippet, klageadgang og domstolsprøvelse, internationale menneskerettighedsnormer og -standarder samt sin generelle og sektorbestemte ret, herunder lovgivning vedrørende offentlig sikkerhed, forsvar, statens sikkerhed samt offentlig orden og strafferet. Når der vedtages en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i et område eller en specifik sektor i et tredjeland, bør der tages hensyn til klare og objektive kriterier, som f.eks. specifikke behandlingsaktiviteter og anvendelsesområdet for gældende retsstandarder og lovgivning i tredjelandet. Tredjelandet bør give garantier, der sikrer et passende beskyttelsesniveau, som i det væsentlige svarer til det, der sikres i Unionen, især når oplysninger behandles i en eller flere specifikke sektorer. Tredjelandet bør navnlig sikre et effektivt og uafhængigt databeskyttelsestilsyn og bør fastlægge samarbejdsmekanismer med medlemsstaternes databeskyttelsesmyndigheder, og de registrerede bør have effektive rettigheder, som kan håndhæves, og adgang til effektiv administrativ og retslig prøvelse.

(68)

Ud over de internationale forpligtelser, som tredjelandet eller den internationale organisation har indgået, bør Kommissionen også tage hensyn til forpligtelser, der følger af tredjelandets eller den internationale organisations deltagelse i multilaterale eller regionale systemer, navnlig i forbindelse med beskyttelse af personoplysninger, samt gennemførelsen af sådanne forpligtelser. Der bør navnlig tages hensyn til tredjelandets tiltrædelse af Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger og tillægsprotokollen hertil. Kommissionen bør høre Det Europæiske Databeskyttelsesråd oprettet ved forordning (EU) 2016/679 (»Databeskyttelsesrådet«), når den vurderer beskyttelsesniveauet i tredjelande eller internationale organisationer. Kommissionen bør også tage hensyn til eventuelle kommissionsafgørelser om tilstrækkeligheden af beskyttelsesniveauet vedtaget i overensstemmelse med artikel 45 i forordning (EU) 2016/679.

(69)

Kommissionen bør overvåge virkningen af afgørelser om beskyttelsesniveauet i et tredjeland, et område eller en specifik sektor i et tredjeland eller en international organisation. I sine afgørelser om tilstrækkeligheden af beskyttelsesniveauet bør Kommissionen fastsætte en mekanisme for regelmæssig revision af afgørelsernes virkning. Denne regelmæssige revision bør foretages i samråd med det pågældende tredjeland eller den pågældende internationale organisation og tage hensyn til enhver relevant udvikling i tredjelandet eller den internationale organisation.

(70)

Kommissionen bør også kunne fastslå, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt databeskyttelsesniveau. Overførsel af personoplysninger til et sådant tredjeland eller en sådan international organisation bør derfor forbydes, medmindre kravene i dette direktiv vedrørende overførsel omfattet af fornødne garantier og undtagelser i særlige situationer, er opfyldt. Der bør fastlægges bestemmelser om en procedure for konsultationer mellem Kommissionen og sådanne tredjelande eller internationale organisationer. Kommissionen bør rettidigt underrette tredjelandet eller den internationale organisation om årsagerne og indlede konsultationer med tredjelandet eller den internationale organisation for at afhjælpe situationen.

(71)

Overførsler, der ikke er baseret på en sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør kun tillades, hvis der er givet de fornødne garantier i et juridisk bindende instrument, der sikrer beskyttelsen af personoplysninger, eller hvis den dataansvarlige har vurderet samtlige de forhold, der har indflydelse på overførslen, og på grundlag af denne vurdering konkluderer, at de fornødne garantier for beskyttelsen af personoplysninger er til stede. Sådanne juridisk bindende instrumenter kunne for eksempel være juridisk bindende bilaterale aftaler, der er indgået af medlemsstaterne og gennemført i deres retsorden, og som kan håndhæves af de registrerede i disse stater, og som sikrer, at databeskyttelseskravene og de registreredes rettigheder opfyldes, herunder retten til effektiv administrativ eller retslig prøvelse. Den dataansvarlige bør ved vurderingen af samtlige forhold, der har indflydelse på overførslen, kunne tage højde for samarbejdsaftaler, der er indgået mellem Europol eller Eurojust og tredjelande, som tillader udveksling af personoplysninger. Den dataansvarlige bør også kunne tage højde for, at overførslen af personoplysninger vil være underlagt tavshedspligt og omfattet af specialitetsprincippet, hvorved det sikres, at oplysningerne ikke bliver behandlet til andre formål end formålene med overførslen. Desuden bør den dataansvarlige tage højde for, at personoplysningerne ikke vil blive anvendt til at kræve, idømme eller fuldbyrde dødsstraf eller nogen anden form for grusom og umenneskelig behandling. Selv om disse betingelser kan betragtes som værende fornødne garantier, der muliggør overførsel af oplysninger, bør den dataansvarlige kunne kræve yderligere garantier.

(72)

Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller de fornødne garantier ikke foreligger, kan en overførsel eller en kategori af overførsler kun finde sted i særlige situationer, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser eller beskytte den registreredes legitime interesser, såfremt der er hjemmel hertil i national ret i den medlemsstat, der overfører personoplysningerne, for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed, eller i enkeltsager med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller i enkeltsager med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares. Disse undtagelser bør fortolkes restriktivt og bør ikke give mulighed for hyppige, omfattende og strukturelle overførsler af personoplysninger eller omfattende overførsler af oplysninger, men bør begrænses til de oplysninger, der er strengt nødvendige. Sådanne overførsler bør dokumenteres og efter anmodning stilles til rådighed for tilsynsmyndigheden med henblik på at føre tilsyn med, om overførslen er lovlig.

(73)

Medlemsstaternes kompetente myndigheder anvender gældende bilaterale eller multilaterale internationale aftaler, der er indgået med tredjelande om retligt samarbejde i straffesager og politisamarbejde, til udveksling af relevante oplysninger, så de kan udføre de opgaver, der er tildelt dem efter loven. Dette sker principielt via eller i det mindste i samarbejde med de myndigheder, der i de pågældende tredjelande er kompetente med henblik på dette direktiv, undertiden selv i mangel af en bilateral eller multilateral international aftale. I konkrete enkeltsager kan de regelmæssige procedurer, der kræver kontakt med en sådan myndighed i tredjelandet, være ineffektive eller uhensigtsmæssige, navnlig fordi overførslen ikke kunne gennemføres rettidigt, eller fordi den nævnte myndighed i tredjelandet ikke respekterer retsstatsprincippet eller internationale menneskerettighedsnormer og -standarder, således at medlemsstaternes kompetente myndigheder kan beslutte at overføre personoplysninger direkte til modtagere i disse tredjelande. Dette kan være tilfældet, hvis der er akut behov for at overføre personoplysninger for at redde en persons liv, som er i fare for at blive offer for en strafbar handling, eller for at forhindre en nært forestående forbrydelse, herunder terrorisme. Selv om en sådan overførsel mellem kompetente myndigheder og modtagere i tredjelande kun bør finde sted i konkrete enkeltsager, bør dette direktiv fastsætte betingelser for regulering af sådanne tilfælde. Disse bestemmelser bør ikke betragtes som værende undtagelser fra eksisterende bilaterale eller multilaterale internationale aftaler om retligt samarbejde i straffesager og politisamarbejde. Disse regler bør finde anvendelse som supplement til de andre regler i dette direktiv, navnlig reglerne om lovlig behandling af personoplysninger og reglerne i kapitel V.

(74)

Når personoplysninger overføres på tværs af grænser, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder for at beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at de ikke kan følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser og uensartede retlige ordninger. Der er derfor behov for at fremme tættere samarbejde mellem datatilsynsmyndigheder, så de bedre kan udveksle oplysninger med de tilsvarende udenlandske organer.

(75)

Oprettelse af tilsynsmyndigheder i medlemsstaterne, som kan udøve deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. Tilsynsmyndighederne bør føre tilsyn med anvendelsen af de bestemmelser, der vedtages i henhold til dette direktiv, og bidrage til en ensartet anvendelse i hele Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger. Med henblik herpå bør tilsynsmyndighederne samarbejde med hinanden og med Kommissionen.

(76)

Medlemsstaterne kan overdrage ansvaret for de opgaver, som skal udføres af de nationale tilsynsmyndigheder, der oprettes i henhold til dette direktiv, til en tilsynsmyndighed, der allerede er oprettet i henhold til forordning (EU) 2016/679.

(77)

Medlemsstaterne bør kunne oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Hver tilsynsmyndighed bør have de nødvendige finansielle og menneskelige ressourcer, samt lokaler og infrastrukturer til effektivt at kunne udføre sine opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i hele Unionen. Hver tilsynsmyndighed bør have et separat offentligt årligt budget, der kan indgå i det samlede statsbudget eller nationale budget.

(78)

Tilsynsmyndighederne bør være underlagt uafhængige kontrol- eller overvågningsmekanismer, hvad angår deres finansielle udgifter, forudsat at sådan finansiel kontrol ikke påvirker deres uafhængighed.

(79)

De generelle betingelser for tilsynsmyndighedens medlem eller medlemmer bør fastsættes ved medlemsstaternes nationale ret og bør navnlig fastsætte, at disse medlemmer udnævnes af enten parlamentet eller regeringen eller statschefen i den pågældende medlemsstat på grundlag af et forslag fra regeringen eller et medlem af regeringen eller parlamentet eller et kammer i parlamentet eller af et uafhængigt organ, der i henhold til medlemsstaternes nationale ret har bemyndigelse til udnævnelsen ved en gennemsigtig procedure. For at sikre tilsynsmyndighedens uafhængighed bør medlemmet eller medlemmerne handle med integritet, afholde sig fra enhver handling, der er uforenelig med deres hverv, og ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed. For at sikre tilsynsmyndighedens uafhængighed bør personalet udvælges af tilsynsmyndigheden, eventuelt med medvirken af et uafhængigt organ, der har fået bemyndigelse hertil i henhold til medlemsstaternes nationale ret.

(80)

Selv om dette direktiv også finder anvendelse på de nationale domstoles og andre judicielle myndigheders aktiviteter, bør tilsynsmyndighedernes kompetence ikke omfatte behandling af personoplysninger, når domstole handler i deres egenskab af domstol, for at sikre dommernes uafhængighed under udførelsen af deres judicielle opgaver. Denne undtagelse bør begrænses til retlige aktiviteter i forbindelse med retssager og ikke gælde for andre aktiviteter, hvori dommere kan deltage i henhold til medlemsstaternes nationale ret. Medlemsstaterne bør også kunne fastsætte bestemmelser om, at tilsynsmyndighedens kompetence ikke omfatter andre uafhængige judicielle myndigheders behandling af personoplysninger, når de udfører deres judicielle opgaver, f.eks. anklagemyndigheden. Under alle omstændigheder er domstolenes og andre uafhængige judicielle myndigheders overholdelse af reglerne i dette direktiv altid underlagt en uafhængig myndigheds kontrol i overensstemmelse med chartrets artikel 8, stk. 3.

(81)

Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede, og undersøge sagen eller videresende den til den kompetente myndighed. Undersøgelsen af en klage bør foretages i det omfang det er passende i det specifikke tilfælde, med forbehold af domstolskontrol. Tilsynsmyndigheden bør underrette den registrerede om forløbet og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede undervejs underrettes herom.

(82)

For at sikre effektiv, pålidelig og ensartet tilsyn med overholdelse og håndhævelse af dette direktiv i hele Unionen i henhold til TEUF som fortolket af Domstolen bør tilsynsmyndighederne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelsesbeføjelser, korrigerende beføjelser og rådgivningsbeføjelser, som udgør nødvendige midler for udførelsen af deres opgaver. Disse myndigheders beføjelser bør imidlertid ikke gribe ind i de særlige regler for straffesager, herunder efterforskning og retsforfølgning af strafbare handlinger, eller i retsvæsnets uafhængighed. Uden at dette berører de retsforfølgende myndigheders beføjelser i henhold til medlemsstaternes nationale ret, bør tilsynsmyndigheder også have beføjelse til at indbringe overtrædelser af dette direktiv for de judicielle myndigheder eller deltage i retssager. Tilsynsmyndighedernes beføjelser bør udøves i overensstemmelse med de fornødne retssikkerhedsgarantier, der er fastsat i EU-retten og medlemsstaternes nationale ret, uvildigt, retfærdigt og inden for en rimelig frist. Hver foranstaltning bør navnlig være passende, nødvendig og forholdsmæssig for at sikre overholdelsen af dette direktiv, idet der tages hensyn til omstændighederne i hver enkelt sag, bør overholde enhver persons ret til at blive hørt, inden der træffes en individuel foranstaltning, som vil berøre den pågældende person negativt, og undgå overflødige udgifter og urimelige ulemper for denne person. Hvad angår adgang til lokaliteter bør undersøgelsesbeføjelserne udøves i henhold til særlige krav i medlemsstaternes nationale ret, f.eks. kravet om en forudgående retskendelse. Vedtagelsen af en juridisk bindende afgørelse bør være underlagt domstolskontrol i medlemsstaten for den tilsynsmyndighed, der har vedtaget afgørelsen.

(83)

Tilsynsmyndighederne bør bistå hinanden i forbindelse med udførelsen af deres opgaver og yde gensidig bistand for at sikre ensartet anvendelse og håndhævelse af de bestemmelser, der vedtages i henhold til dette direktiv.

(84)

Databeskyttelsesrådet bør bidrage til en ensartet anvendelse af dette direktiv i hele Unionen, herunder ved at rådgive Kommissionen og fremme samarbejdet mellem tilsynsmyndighederne i hele Unionen.

(85)

Enhver registreret bør have ret til at indgive klage til en enkelt tilsynsmyndighed og have adgang til effektive retsmidler i overensstemmelse med artikel 47 i chartret, hvis den registrerede finder, at vedkommendes rettigheder i medfør af de bestemmelser, der vedtages i henhold til dette direktiv, er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. Undersøgelse af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde, med forbehold af domstolskontrol. Den kompetente tilsynsmyndighed bør underrette den registrerede om forløbet og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede undervejs underrettes herom. For at lette indgivelsen af klager bør hver tilsynsmyndighed træffe foranstaltninger som f.eks. at tilbyde en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

(86)

Enhver fysisk eller juridisk person bør have adgang til effektive retsmidler ved den kompetente nationale domstol til prøvelse af en tilsynsmyndigheds afgørelse, som har retsvirkninger for denne person. En sådan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af undersøgelsesbeføjelser, korrigerende beføjelser og godkendelsesbeføjelser eller afslag eller afvisning af klager. Denne ret omfatter dog ikke andre foranstaltninger truffet af tilsynsmyndigheder, der ikke er juridisk bindende, som f.eks. udtalelser eller rådgivning fra tilsynsmyndigheden. En sag mod en tilsynsmyndighed bør anlægges ved domstolene i den medlemsstat, hvor tilsynsmyndigheden er etableret, og bør føres i henhold til medlemsstatens nationale ret. Disse domstole bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske og retlige omstændigheder, der er relevante for den tvist, som de får forelagt.

(87)

Hvis en registreret finder, at vedkommendes rettigheder i henhold til dette direktiv er blevet krænket, bør den pågældende have ret til at give et organ, der er etableret i henhold til medlemsstaternes nationale ret, og som har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til en tilsynsmyndighed og udøve adgangen til retsmidler. Registreredes ret til at være repræsenteret bør ikke berøre medlemsstaternes nationale retsplejeregler, som vil kunne kræve obligatorisk repræsentation af registrerede ved en advokat som defineret i Rådets direktiv 77/249/EØF (10) for en national domstol.

(88)

Personer, der måtte lide skade som følge af en behandling, der overtræder de bestemmelser, der vedtages i henhold til dette direktiv, bør have ret til erstatning fra den dataansvarlige eller en hvilken som helst anden myndighed, der er kompetent i henhold til medlemsstaternes nationale ret. Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for dette direktiv. Dette berører ikke eventuelle erstatningskrav for skade som følge af overtrædelse af andre bestemmelser i EU-retten eller medlemsstaternes nationale ret. Når der henvises til en behandling, der er ulovlig eller overtræder dette direktiv, omfatter det også behandling, der overtræder de gennemførelsesretsakter, der er vedtaget i henhold til dette direktiv. Registrerede bør have fuld erstatning for den skade, de har lidt.

(89)

Sanktioner bør kunne pålægges fysiske eller juridiske personer, der overtræder dette direktiv, uanset om de henhører under privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og bør træffe alle nødvendige foranstaltninger til at gennemføre sanktionerne.

(90)

For at sikre ensartede betingelser for gennemførelsen af dette direktiv bør Kommissionen tillægges gennemførelsesbeføjelser, for så vidt angår det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et område eller en specifik sektor i dette tredjeland, eller en international organisation, og formatet og procedurerne for gensidig bistand og ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (11).

(91)

Undersøgelsesproceduren bør anvendes til at vedtage gennemførelsesretsakter om det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland eller et område eller en specifik sektor i dette tredjeland, eller en international organisation og om formatet og procedurerne for gensidig bistand og ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet, eftersom disse retsakter er af generel karakter.

(92)

Kommissionen bør vedtage gennemførelsesretsakter, der finder anvendelse straks, når det er påkrævet i behørigt begrundede særligt hastende tilfælde vedrørende et tredjeland, et område eller en specifik sektor i dette tredjeland, eller en international organisation, som ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

(93)

Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, herunder navnlig deres ret til beskyttelse af personoplysninger og fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af den foreslåede handlings omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå disse mål.

(94)

Specifikke bestemmelser i EU-retsakter, der er vedtaget inden for området retligt samarbejde i straffesager og politisamarbejde, og som er vedtaget før datoen for vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater og medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, bør finde uændret anvendelse, såsom f.eks. de særlige bestemmelser vedrørende beskyttelse af personoplysninger, der finder anvendelse i henhold til Rådets afgørelse 2008/615/RIA (12), eller artikel 23 i konventionen om gensidig retshjælp i straffesager mellem Den Europæiske Unions medlemsstater (13). Eftersom chartrets artikel 8 og artikel 16 i TEUF kræver, at den grundlæggende ret til beskyttelse af personoplysninger bør sikres på en ensartet måde i hele Unionen, bør Kommissionen se nærmere på forholdet mellem direktivet og retsakter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater eller medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, med det formål at vurdere, om der er behov for at tilpasse disse særlige bestemmelser til direktivet. Hvor det er hensigtsmæssigt, bør Kommissionen fremsætte forslag med henblik på at sikre ensartede retsregler vedrørende behandling af personoplysninger.

(95)

For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen bør internationale aftaler, der er indgået af medlemsstaterne inden datoen for dette direktivs ikrafttræden og som overholder relevant EU-ret, der er gældende inden denne dato, forblive i kraft, indtil de bliver ændret, erstattet eller ophævet.

(96)

Medlemsstaterne bør have en frist på højst to år fra datoen for dette direktivs ikrafttræden til at gennemføre det. Behandlinger, der allerede er iværksat på denne dato, bør bringes i overensstemmelse med dette direktiv senest to år efter dette direktivs ikrafttræden. Hvis en sådan behandling imidlertid overholder den EU-ret, der er gældende inden datoen for dette direktivs ikrafttræden, bør kravene i dette direktiv om forudgående høring af tilsynsmyndigheden ikke finde anvendelse på de behandlingsaktiviteter, der allerede var iværksat på denne dato, idet disse krav i sagens natur skal opfyldes forud for behandlingen. Hvis medlemsstaterne anvender den længere gennemførelsesperiode, som udløber syv år efter datoen for dette direktivs ikrafttræden, til at opfylde logningsforpligtelserne for automatiske databehandlingssystemer, der er oprettet inden denne dato, bør den dataansvarlige eller databehandleren have indført effektive metoder til at påvise, at databehandlingen er lovlig, til at udøve egenkontrol og til at sikre dataintegriteten og datasikkerheden, såsom logning eller andre former for fortegnelser.

(97)

Nærværende direktiv påvirker ikke bestemmelserne om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi i Europa-Parlamentets og Rådets direktiv 2011/93/EU (14).

(98)

Rammeafgørelse 2008/977/RIA bør derfor ophæves.

(99)

I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og TEUF, er Det Forenede Kongerige og Irland ikke bundet af regler fastsat i dette direktiv vedrørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, når Det Forenede Kongerige og Irland ikke er bundet af regler vedrørende former for strafferetligt samarbejde eller politisamarbejde, der kræver overholdelse af de bestemmelser, der er fastsat på grundlag af artikel 16 i TEUF.

(100)

I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU og TEUF, er de regler, der er fastsat i dette direktiv, vedrørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, ikke bindende for og finder ikke anvendelse i Danmark. Da dette direktiv udbygger Schengenreglerne efter bestemmelserne i tredje del, afsnit V, i TEUF, skal Danmark i henhold til artikel 4 i nævnte protokol inden seks måneder efter direktivets vedtagelse træffe afgørelse om, hvorvidt det vil gennemføre direktivet i sin nationale lovgivning.

(101)

For så vidt angår Island og Norge, udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (15).

(102)

For så vidt angår Schweiz, udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (16).

(103)

For så vidt angår Liechtenstein, udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om dette lands associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (17).

(104)

I dette direktiv overholdes de grundlæggende rettigheder og principper, der anerkendes i chartret som forankret i TEUF, navnlig retten til respekt for privatliv og familieliv, retten til beskyttelse af personoplysninger og adgang til effektive retsmidler og til en retfærdig rettergang. I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af disse rettigheder, såfremt de er nødvendige for at nå mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og frihedsrettigheder.

(105)

I henhold til den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter har medlemsstaterne forpligtet sig til i tilfælde, hvor det er berettiget, at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesforanstaltninger. Lovgiver finder fremsendelse af sådanne dokumenter velbegrundet i forbindelse med dette direktiv.

(106)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001 og afgav en udtalelse den 7. marts 2012 (18).

(107)

Dette direktiv bør ikke forhindre medlemsstaterne i at gennemføre bestemmelserne om udøvelsen af registreredes ret til oplysninger, retten til indsigt i og berigtigelse, sletning og begrænsning af behandling under en straffesag, samt mulige begrænsninger heraf i deres nationale regler om strafferetspleje —

VEDTAGET DETTE DIREKTIV:

KAPITEL I

Generelle bestemmelser

Artikel 1

Genstand og formål

1.   I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

2.   Medlemsstaterne sikrer i overensstemmelse med dette direktiv:

a)

at fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger, beskyttes, og

b)

at udvekslingen af personoplysninger mellem kompetente myndigheder i Unionen, hvor en sådan udveksling kræves i henhold til EU-retten eller medlemsstaternes nationale ret, hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

3.   Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere standarder end dem, der er fastsat i dette direktiv, for beskyttelse af den registreredes rettigheder og frihedsrettigheder med hensyn til kompetente myndigheders behandling af personoplysninger.

Artikel 2

Anvendelsesområde

1.   Dette direktiv finder anvendelse på kompetente myndigheders behandling af personoplysninger med henblik på artikel 1, stk. 1.

2.   Dette direktiv finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

3.   Dette direktiv gælder ikke for behandling af personoplysninger:

a)

under udøvelse af aktiviteter, der falder uden for EU-retten

b)

af EU-institutioner, -organer, -kontorer og -agenturer.

Artikel 3

Definitioner

I dette direktiv forstås ved:

1)   »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2)   »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

3)   »begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger

4)   »profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser

5)   »pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person

6)   »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag

7)   »kompetent myndighed«:

a)

enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller

b)

ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed

8)   »dataansvarlig«: den kompetente myndighed, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

9)   »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

10)   »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen

11)   »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet

12)   »genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person

13)   »biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

14)   »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand

15)   »tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 41

16)   »international organisation«: en folkeretlig organisation og organer, der er underordnet den, samt ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.

KAPITEL II

Principper

Artikel 4

Principper for behandling af personoplysninger

1.   Medlemsstaterne fastsætter bestemmelser om, at personoplysninger skal:

a)

behandles lovligt og rimeligt

b)

indsamles til udtrykkeligt angivne og legitime formål og ikke behandles på en måde, der er uforenelig med disse formål

c)

være tilstrækkelige, relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de behandles

d)

være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges

e)

opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de behandles

f)

behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

2.   Behandling, der foretages af den samme eller en anden dataansvarlig til et andet formål omfattet af artikel 1, stk. 1, end det, hvortil personoplysningerne er indsamlet, er tilladt i det omfang:

a)

den dataansvarlige er bemyndiget til at behandle sådanne personoplysninger til et sådant formål i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, og

b)

behandlingen er nødvendig for og forholdsmæssig i forhold til dette andet formål i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.

3.   Behandling, der foretages af den samme eller en anden dataansvarlig, kan omfatte behandling til arkivformål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug med henblik på artikel 1, stk. 1, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder.

4.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3 overholdes.

Artikel 5

Tidsfrister for opbevaring og revision

Medlemsstaterne fastsætter bestemmelser om, at der skal fastsættes hensigtsmæssige tidsfrister for sletning af personoplysninger eller for regelmæssig revision af behovet for opbevaring af personoplysninger. Det sikres ved proceduremæssige foranstaltninger, at disse tidsfrister overholdes.

Artikel 6

Sondring mellem forskellige kategorier af registrerede

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige, hvor det er relevant og så vidt muligt, klart sondrer mellem personoplysninger om forskellige kategorier af registrerede såsom:

a)

personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling

b)

personer, der er dømt for en strafbar handling

c)

ofre for en strafbar handling eller personer, om hvem visse faktiske omstændigheder giver anledning til at tro, at de kunne blive offer for en strafbar handling, og

d)

andre parter i forbindelse med en strafbar handling, såsom personer, der kan blive indkaldt som vidner i efterforskninger i forbindelse med strafbare handlinger eller i efterfølgende straffesager, personer, der kan tilvejebringe oplysninger om strafbare handlinger, eller kontakt- eller ledsagepersoner for en af de i litra a) og b) omhandlede personer.

Artikel 7

Sondring mellem personoplysninger og kontrol med kvaliteten af personoplysninger

1.   Medlemsstaterne fastsætter bestemmelser om, at der så vidt muligt skal sondres mellem personoplysninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderinger.

2.   Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder iværksætter alle rimelige tiltag for at sikre, at personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Med henblik herpå kontrollerer hver kompetent myndighed, så vidt det er praktisk muligt, kvaliteten af personoplysninger, før disse videregives eller stilles til rådighed. I forbindelse med al videregivelse af personoplysninger skal nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte, så vidt muligt tilføjes.

3.   Hvis det konstateres, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. I så fald skal personoplysningerne berigtiges eller slettes, eller behandling skal begrænses i overensstemmelse med artikel 16.

Artikel 8

Lovlig behandling

1.   Medlemsstaterne fastsætter bestemmelser om, at behandling kun er lovlig, hvis og i det omfang denne behandling er nødvendig, for at en kompetent myndighed kan udføre en opgave med henblik på artikel 1, stk. 1, og at den sker på grundlag af EU-retten eller medlemsstaternes nationale ret.

2.   Medlemsstaternes nationale ret, der regulerer behandling inden for dette direktivs anvendelsesområde, skal som minimum angive målene med behandling, de personoplysninger, der skal behandles, og formålene med behandlingen.

Artikel 9

Særlige betingelser for behandling

1.   Personoplysninger indsamlet af kompetente myndigheder med henblik på artikel 1, stk. 1, må ikke behandles til andre formål end med henblik på artikel 1, stk. 1, medmindre en sådan behandling er hjemlet i EU-retten eller medlemsstaternes nationale ret. Hvis personoplysninger behandles til disse andre formål, finder forordning (EU) 2016/679 anvendelse, medmindre behandlingen udføres i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde.

2.   Hvis kompetente myndigheder i henhold til medlemsstaternes nationale ret har fået overdraget andre opgaver end dem, der udføres med henblik på artikel 1, stk. 1, finder forordning (EU) 2016/679 anvendelse på behandling til disse formål, herunder til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, medmindre behandlingen udføres i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde.

3.   Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed, hvis EU-retten eller medlemsstaternes nationale ret, der finder anvendelse på den videregivende kompetente myndighed, fastsætter særlige vilkår for behandling, underretter modtageren af sådanne personoplysninger om disse vilkår og kravet om at overholde dem.

4.   Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed ikke anvender andre vilkår, jf. stk. 3, på modtagere i andre medlemsstater eller på agenturer, kontorer og organer, der er oprettet i henhold til afsnit V, kapitel 4 og 5, i TEUF, end de vilkår, der gælder for lignende videregivelser af oplysninger inden for den medlemsstat, hvor den videregivende kompetente myndighed er beliggende.

Artikel 10

Behandling af særlige kategorier af personoplysninger

Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering må kun tillades, når det er strengt nødvendigt, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder, og kun:

a)

hvis hjemlet i EU-retten eller medlemsstaternes nationale ret

b)

for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller

c)

hvis denne behandling vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede.

Artikel 11

Automatiske individuelle afgørelser

1.   Medlemsstaterne fastsætter bestemmelser om, at en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har negativ retsvirkning for den registrerede eller betydeligt påvirker den pågældende, er forbudt, medmindre den er hjemlet i EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter de fornødne garantier for den registreredes rettigheder og frihedsrettigheder, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side.

2.   De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 10, medmindre der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

3.   Profilering, der fører til forskelsbehandling af fysiske personer på grundlag af særlige kategorier af personoplysninger, jf. artikel 10, er forbudt i henhold til EU-retten.

KAPITEL III

Den registreredes rettigheder

Artikel 12

Meddelelser og nærmere regler for udøvelse af den registreredes rettigheder

1.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal iværksætte rimelige tiltag for at give enhver oplysning som omhandlet i artikel 13 og enhver meddelelse som omhandlet i artikel 11, 14-18 og 31 om behandling til den registrerede i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herunder ved hjælp af elektroniske midler. Som hovedregel skal den dataansvarlige give oplysningerne i samme form som anmodningen.

2.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i medfør af artikel 11 og 14-18.

3.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig meddelelse om opfølgningen på dennes anmodning uden unødig forsinkelse.

4.   Medlemsstaterne fastsætter bestemmelser om, at de oplysninger, der gives i medfør af artikel 13, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 11, 14-18 og 31, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:

a)

opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysninger eller meddelelser eller træffe den ønskede foranstaltning, eller

b)

afvise at efterkomme anmodningen.

Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

5.   Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 14 eller 16, anmode om de yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Artikel 13

Oplysninger, der skal stilles til rådighed for eller gives til den registrerede

1.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum stiller følgende oplysninger til rådighed for den registrerede:

a)

identitet på og kontaktoplysninger for den dataansvarlige

b)

kontaktoplysninger for en eventuel databeskyttelsesrådgiver

c)

formålene med den behandling, som personoplysningerne skal bruges til

d)

retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysningerne for tilsynsmyndigheden

e)

retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger og begrænsning af behandling af personoplysningerne vedrørende den registrerede.

2.   Ud over de oplysninger, der er omhandlet i stk. 1, fastsætter medlemsstaterne ved lov bestemmelser om, at den dataansvarlige i særlige tilfælde skal give den registrerede følgende yderligere oplysninger, for at vedkommende kan udøve sine rettigheder:

a)

retsgrundlaget for behandlingen

b)

det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

c)

hvor det er relevant, kategorierne af modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer

d)

hvis det er nødvendigt, yderligere oplysninger, navnlig hvis personoplysningerne indsamles uden den registreredes vidende.

3.   Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller afskærer meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte den offentlige sikkerhed

d)

beskytte statens sikkerhed

e)

beskytte andres rettigheder og frihedsrettigheder.

4.   Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af ethvert af de litraer, der er anført i stk. 3.

Artikel 14

Den registreredes indsigtsret

Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information, jf. dog artikel 15:

a)

formålene med og retsgrundlaget for behandlingen

b)

de berørte kategorier af personoplysninger

c)

de modtagere eller kategorier af modtagere, som personoplysningerne er videregivet til, navnlig modtagere i tredjelande eller internationale organisationer

d)

om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

e)

retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede

f)

retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

g)

meddelelse af hvilke personoplysninger, der er omfattet af behandlingen, og enhver tilgængelig oplysning om, hvorfra de stammer.

Artikel 15

Begrænsninger af indsigtsretten

1.   Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser den registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte den offentlige sikkerhed

d)

beskytte statens sikkerhed

e)

beskytte andres rettigheder og frihedsrettigheder.

2.   Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af stk. 1, litra a)-e).

3.   I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige uden unødig forsinkelse skal give den registrerede skriftlig meddelelse om ethvert afslag på indsigt i personoplysninger eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen. En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk. 1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om muligheden for at indgive en klage til en tilsynsmyndighed eller adgangen til retsmidler.

4.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere den faktiske eller retlige begrundelse, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for tilsynsmyndighederne.

Artikel 16

Ret til berigtigelse, sletning og begrænsning af behandling

1.   Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Medlemsstaterne fastsætter bestemmelser om, at den registrerede under hensyntagen til formålene med behandlingen skal have ret til at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

2.   Medlemsstaterne kræver, at den dataansvarlige sletter personoplysninger uden unødig forsinkelse, og fastsætter bestemmelser om, at den registrerede skal have ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis behandling overtræder de bestemmelser, der vedtages i henhold til artikel 4, 8 eller 10, eller hvis personoplysninger skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

3.   I stedet for sletning begrænser den dataansvarlige behandling, hvis:

a)

rigtigheden af personoplysningerne bestrides af den registrerede og deres rigtighed eller urigtighed ikke kan konstateres, eller

b)

personoplysningerne skal bevares som bevismiddel.

Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter den dataansvarlige den registrerede herom, inden begrænsningen af behandling ophæves.

4.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af personoplysninger eller begrænsning af behandling og om begrundelsen for afslaget. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser forpligtelsen til at give sådanne oplysninger, i det omfang en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte den offentlige sikkerhed

d)

beskytte statens sikkerhed

e)

beskytte andres rettigheder og frihedsrettigheder.

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om muligheden for at indgive klage til en tilsynsmyndighed eller adgangen til retsmidler.

5.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal meddele berigtigelse af urigtige personoplysninger til den kompetente myndighed, hvorfra de urigtige oplysninger stammer.

6.   Medlemsstaterne fastsætter, hvis personoplysningerne er blevet berigtiget eller slettet eller behandlingen er blevet begrænset, jf. stk. 1, 2 og 3, bestemmelser om, at den dataansvarlige skal underrette modtagerne, og at modtagerne berigtiger eller sletter personoplysningerne eller begrænser behandling af personoplysninger, som de har ansvaret for.

Artikel 17

Den registreredes udøvelse af rettigheder og tilsynsmyndighedens kontrol

1.   I de tilfælde, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, vedtager medlemsstaterne foranstaltninger, der fastsætter, at den registreredes rettigheder også kan udøves gennem den kompetente tilsynsmyndighed.

2.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om dennes mulighed for at udøve sine rettigheder gennem tilsynsmyndigheden i henhold til stk. 1.

3.   Hvis den i stk. 1 omhandlede ret udøves, underretter tilsynsmyndigheden som minimum den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse. Tilsynsmyndigheden underretter også den registrerede om dennes adgang til retsmidler.

Artikel 18

Den registreredes rettigheder i forbindelse med strafferetlige efterforskninger og straffesager

Medlemsstaterne kan fastsætte bestemmelser om, at udøvelsen af de rettigheder, der er omhandlet i artikel 13, 14 og 16, skal gennemføres i henhold til medlemsstaternes nationale ret, når personoplysningerne er indeholdt i en retsafgørelse eller et register eller en sagsakt, der behandles i forbindelse med strafferetlige efterforskninger og straffesager.

KAPITEL IV

Dataansvarlig og databehandler

Afdeling 1

Generelle forpligtelser

Artikel 19

Den dataansvarliges forpligtelser

1.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med dette direktiv. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2.   Hvis det står i rimeligt forhold til behandlingsaktiviteterne, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.

Artikel 20

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

1.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen skal gennemføre passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i dette direktiv og beskytte de registreredes rettigheder.

2.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

Artikel 21

Fælles dataansvarlige

1.   Medlemsstaterne fastsætter, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, bestemmelser om, at de skal være fælles dataansvarlige. De fastsætter på en gennemsigtig måde deres respektive ansvar for overholdelse af dette direktiv, navnlig hvad angår udøvelsen af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen udpeges kontaktpunktet for de registrerede. Medlemsstaterne kan udpege den af de fælles dataansvarlige, der kan fungere som fælles kontaktpunkt for de registrerede, når disse udøver deres rettigheder.

2.   Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan medlemsstaterne fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder i medfør af de bestemmelser, der vedtages i henhold til dette direktiv, med hensyn til og over for den enkelte dataansvarlige.

Artikel 22

Databehandler

1.   Medlemsstaterne fastsætter, hvis en behandling foretages på vegne af en dataansvarlig, bestemmelser om, at den dataansvarlige udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i dette direktiv og sikrer beskyttelse af den registreredes rettigheder.

2.   Medlemsstaterne fastsætter bestemmelser om, at databehandleren ikke må gøre brug af en anden databehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.   Medlemsstaterne fastsætter bestemmelser om, at en databehandlers behandling skal være omfattet af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller andet retlige dokument fastlægger navnlig, at databehandleren:

a)

kun må handle efter instruks fra den dataansvarlige

b)

sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c)

bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestemmelserne om den registreredes rettigheder

d)

efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysningerne til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne

e)

stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne artikel, til rådighed for den dataansvarlige

f)

overholder de betingelser, der er omhandlet i stk. 2 og 3, med henblik på at gøre brug af en anden databehandler.

4.   Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3, skal foreligge skriftligt, herunder elektronisk.

5.   Hvis en databehandler i strid med dette direktiv fastlægger formålene med og hjælpemidlerne til behandling, anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende behandling.

Artikel 23

Behandling, der udføres for den dataansvarlige eller databehandleren

Medlemsstaterne fastsætter bestemmelser om, at databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, kun må behandle disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Artikel 24

Fortegnelser over behandlingsaktiviteter

1.   Medlemsstaterne fastsætter bestemmelser om, at de dataansvarlige fører fortegnelser over alle kategorier af behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:

a)

navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige og databeskyttelsesrådgiveren

b)

formålene med behandlingen

c)

de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer

d)

en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger

e)

hvor det er relevant, brugen af profilering

f)

hvor det er relevant, kategorierne af overførsler af personoplysninger til et tredjeland eller en international organisation

g)

en angivelse af retsgrundlaget for behandlingsaktiviteten, herunder overførsler, hvortil personoplysningerne er bestemt

h)

hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af personoplysninger

i)

hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 29, stk. 1.

2.   Medlemsstaterne fastsætter bestemmelser om, at hver databehandler skal føre fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:

a)

navn på og kontaktoplysninger for databehandleren eller databehandlerne, for hver dataansvarlig, på hvis vegne databehandleren handler, samt, hvis det er relevant, databeskyttelsesrådgiveren

b)

de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige

c)

hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, når den dataansvarlige udtrykkeligt har givet instruks herom, herunder angivelse af dette tredjeland eller denne internationale organisation

d)

hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 29, stk. 1.

3.   De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.

Den dataansvarlige og databehandleren stiller efter anmodning disse fortegnelser til rådighed for tilsynsmyndigheden.

Artikel 25

Logning

1.   Medlemsstaterne fastsætter bestemmelser om, at der som minimum skal foretages logning af følgende former for behandlingsaktiviteter i automatiske databehandlingssystemer: indsamling, ændring, søgning, videregivelse, herunder overførsel, samkøring og sletning. Logning af søgning og videregivelse skal gøre det muligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktiviteter og i videst muligt omfang identifikation af den person, som har søgt eller videregivet personoplysninger, og identiteten på modtagerne af sådanne personoplysninger.

2.   Loggene anvendes udelukkende til at kontrollere, om behandling er lovlig, til egenkontrol, til at sikre integriteten og sikkerheden af personoplysningerne og i forbindelse med straffesager.

3.   Den dataansvarlige og databehandleren stiller efter anmodning loggene til rådighed for tilsynsmyndigheden.

Artikel 26

Samarbejde med tilsynsmyndigheden

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren efter anmodning skal samarbejde med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver.

Artikel 27

Konsekvensanalyse vedrørende databeskyttelse

1.   Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige forud for behandlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

2.   Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af dette direktiv, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Artikel 28

Forudgående høring af tilsynsmyndigheden

1.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige eller databehandleren skal høre tilsynsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, såfremt:

a)

en konsekvensanalyse vedrørende databeskyttelse, jf. artikel 27, viser, at behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen, eller

b)

den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, indebærer en høj risiko for de registreredes rettigheder og frihedsrettigheder.

2.   Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal høres som led i udarbejdelsen af et forslag til lovgivningsmæssig foranstaltning, som skal vedtages af et nationalt parlament, eller af en regulerende foranstaltning, der har hjemmel i en sådan lovgivningsmæssig foranstaltning, og som vedrører behandling.

3.   Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden kan fastsætte en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

4.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige forelægger tilsynsmyndigheden den i artikel 27 omhandlede konsekvensanalyse vedrørende databeskyttelse og efter anmodning andre oplysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse, og navnlig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.

5.   Medlemsstaterne fastsætter, hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i nærværende artikels stk. 1, overtræder de bestemmelser, der vedtages i henhold til dette direktiv, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, bestemmelser om, at tilsynsmyndigheden inden for en periode på op til seks uger efter modtagelse af anmodningen om høring skal give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og i den forbindelse kan anvende enhver af sine beføjelser, jf. artikel 47. Denne periode kan forlænges med en måned under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.

Afdeling 2

Personoplysningssikkerhed

Artikel 29

Behandlingssikkerhed

1.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omhandlet i artikel 10.

2.   For så vidt angår automatisk behandling, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige eller databehandleren på grundlag af en risikovurdering gennemfører foranstaltninger til at sikre, at:

a)

uautoriserede personer ikke kan få adgang til det behandlingsudstyr, der benyttes til behandling (»kontrol med fysisk adgang til udstyret«)

b)

der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (»kontrol med datamedier«)

c)

der ikke sker uautoriseret indlæsning af personoplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (»kontrol med opbevaring«)

d)

automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (»brugerkontrol«)

e)

personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til de personoplysninger, der er omfattet af deres adgangstilladelse (»kontrol med dataadgangen«)

f)

det er muligt at kontrollere og fastslå de organer, til hvilke der er blevet eller kan transmitteres eller stilles til rådighed ved hjælp af datakommunikationsudstyr (»kommunikationskontrol«)

g)

det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske behandlingssystemer, og hvornår og af hvem personoplysningerne blev indlæst (»kontrol med indlæsning«)

h)

der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i forbindelse med overførsler af disse eller under transport af datamedier (»transportkontrol«)

i)

de anvendte systemer i tilfælde af teknisk uheld kan genetableres (»genopretning«)

j)

systemet fungerer, at indtrufne fejl meldes (»pålidelighed«), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (»integritet«).

Artikel 30

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

1.   Medlemsstaterne fastsætter ved brud på persondatasikkerheden bestemmelser om, at den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.   Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

3.   Den i stk. 1 omhandlede anmeldelse skal mindst:

a)

beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger

b)

angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

c)

beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

d)

beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

4.   Når og for så vidt som det ikke er muligt at forelægge oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

5.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden som omhandlet i stk. 1, herunder de faktiske omstændigheder vedrørende bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

6.   Medlemsstaterne fastsætter, hvis bruddet på persondatasikkerheden omfatter personoplysninger, der er transmitteret af eller til den dataansvarlige i en anden medlemsstat, bestemmelser om, at de i stk. 3 omhandlede oplysninger uden unødig forsinkelse skal meddeles til den dataansvarlige i denne medlemsstat.

Artikel 31

Underretning om brud på persondatasikkerheden til den registrerede

1.   Medlemsstaterne fastsætter, når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, bestemmelser om, at den dataansvarlige uden unødig forsinkelse skal underrette den registrerede om bruddet på persondatasikkerheden.

2.   Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 30, stk. 3, litra b), c) og d).

3.   Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

a)

den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering

b)

den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel

c)

det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4.   Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

5.   Den i nærværende artikels stk. 1 omhandlede underretning af den registrerede kan udsættes, begrænses eller afskæres på de betingelser og af de årsager, der er omhandlet i artikel 13, stk. 3.

Afdeling 3

Databeskyttelsesrådgiver

Artikel 32

Udpegelse af databeskyttelsesrådgiveren

1.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal udpege en databeskyttelsesrådgiver. Medlemsstaterne kan fritage domstole og andre uafhængige judicielle myndigheder, når de udfører deres judicielle opgaver, for denne forpligtelse.

2.   Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 34.

3.   En fælles databeskyttelsesansvarlig kan udpeges for flere kompetente myndigheder under hensyntagen til deres organisatoriske struktur og størrelse.

4.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal offentliggøre kontaktoplysningerne for databeskyttelsesrådgiveren og meddele disse til tilsynsmyndigheden.

Artikel 33

Databeskyttelsesrådgiverens stilling

1.   Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal sikre, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2.   Den dataansvarlige støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 34 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.

Artikel 34

Databeskyttelsesrådgiverens opgaver

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum skal overdrage følgende opgaver til databeskyttelsesrådgiveren:

a)

at underrette og rådgive den dataansvarlige og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til dette direktiv og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse

b)

at overvåge overholdelsen af dette direktiv, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteterne, og de tilhørende revisioner

c)

at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 27

d)

at samarbejde med tilsynsmyndigheden

e)

at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 28, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.

KAPITEL V

Overførsler af personoplysninger til tredjelande eller internationale organisationer

Artikel 35

Generelle principper for overførsler af personoplysninger

1.   Medlemsstaterne fastsætter bestemmelser om, at enhver overførsel af personoplysninger, der foretages af kompetente myndigheder, og som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, herunder videreoverførsel til et andet tredjeland eller en anden international organisation, kun må finde sted, hvis de nationale bestemmelser, der vedtages i henhold til dette direktiv, er overholdt, og hvis betingelserne i dette kapitel er opfyldt, navnlig at:

a)

overførslen er nødvendig med henblik på artikel 1, stk. 1

b)

personoplysningerne overføres til en dataansvarlig i et tredjeland eller en international organisation, der er en myndighed, der er kompetent med henblik på artikel 1, stk. 1

c)

hvor personoplysninger transmitteres eller stilles til rådighed fra en anden medlemsstat, denne medlemsstat har givet sin forudgående godkendelse til overførslen i henhold til dens nationale ret

d)

Kommissionen i henhold til artikel 36 har truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller der i fravær af en sådan afgørelse er blevet indført, eller der eksisterer de fornødne garantier i henhold til artikel 37, eller, i fravær af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 36 og de fornødne garantier, jf. artikel 37, undtagelser for særlige situationer finder anvendelse i henhold til artikel 38, og

e)

den kompetente myndighed, der foretog den oprindelige overførsel, eller en anden kompetent myndighed i den samme medlemsstat, i tilfælde af videreoverførsel til et andet tredjeland eller en anden international organisation, giver bemyndigelse til videreoverførslen, efter at den har taget behørigt hensyn til alle relevante faktorer, herunder den strafbare handlings grovhed, det formål, hvortil personoplysningerne oprindeligt blev overført, og beskyttelsesniveauet for personoplysninger i det tredjeland eller den internationale organisation, hvortil personoplysningerne videreoverføres.

2.   Medlemsstaterne fastsætter bestemmelser om, at overførsel uden forudgående godkendelse fra en anden medlemsstat i overensstemmelse med stk. 1, litra c), kun må tillades, hvis overførslen af personoplysningerne er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og den forudgående godkendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at give den forudgående godkendelse, underrettes straks.

3.   Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau for fysiske personer, som sikres i dette direktiv, ikke undermineres.

Artikel 36

Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1.   Medlemsstaterne fastsætter bestemmelser om, at overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel af oplysninger kræver ikke specifik godkendelse.

2.   Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elementer i betragtning:

a)

retsstatsprincippet, respekt for menneskerettighederne og de grundlæggende frihedsrettigheder, relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger, samt gennemførelsen af sådan lovgivning, databeskyttelsesregler, faglige regler og sikkerhedsforanstaltninger, herunder regler for videreoverførslen af personoplysninger til et andet tredjeland eller en anden international organisation, der gælder i dette land eller denne internationale organisation, retspraksis samt effektive rettigheder for registrerede, som kan håndhæves, og effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres

b)

tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet, eller som den internationale organisation er underlagt, med ansvar for at sikre og håndhæve, at databeskyttelsesregler overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og for samarbejde med tilsynsmyndighederne i medlemsstaterne, og

c)

de internationale forpligtelser, som tredjelandet eller den internationale organisation har påtaget sig, eller andre forpligtelser, der følger af retligt bindende konventioner eller instrumenter og af landets eller organisationens deltagelse i multilaterale eller regionale systemer, navnlig vedrørende beskyttelse af personoplysninger.

3.   Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af gennemførelsesretsakter fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision, som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte anvendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, jf. denne artikels stk. 2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

4.   Kommissionen overvåger løbende udviklinger i tredjelande og internationale organisationer, der kan påvirke virkningen af de afgørelser, der er vedtaget i henhold til stk. 3.

5.   Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er nødvendigt, uden tilbagevirkende kraft afgørelsen omhandlet i denne artikels stk. 3, hvis tilgængelige oplysninger, navnlig efter den i denne artikels stk. 3 omhandlede revision, viser, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen efter proceduren i artikel 58, stk. 3, gennemførelsesretsakter, der finder anvendelse straks.

6.   Kommissionen fører konsultationer med tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der giver anledning til en afgørelse vedtaget i henhold til stk. 5.

7.   Medlemsstaterne fastsætter bestemmelser om, at en afgørelse som angivet i stk. 5 ikke berører overførsel af personoplysninger til det pågældende tredjeland, det pågældende område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation i medfør af artikel 37 og 38.

8.   Kommissionen offentliggør i Den Europæiske Unions Tidende og på sit websted en liste over de tredjelande, områder og specifikke sektorer i tredjelande samt internationale organisationer, som den har fastslået sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

Artikel 37

Overførsler omfattet af fornødne garantier

1.   Hvis der ikke er vedtaget en afgørelse i henhold til artikel 36, stk. 3, fastsætter medlemsstaterne bestemmelser om, at en overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis:

a)

der er givet de fornødne garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument, eller

b)

den dataansvarlige har vurderet alle forhold i forbindelse med overførslen af personoplysninger og konkluderer, at der findes de fornødne garantier, hvad angår beskyttelsen af personoplysninger.

2.   Den dataansvarlige underretter tilsynsmyndigheden om kategorier af overførsler i medfør af stk. 1, litra b).

3.   En overførsel, der er hjemlet i stk. 1, litra b), dokumenteres, og dokumentationen stilles til rådighed for tilsynsmyndigheden efter anmodning, herunder dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger.

Artikel 38

Undtagelser i særlige situationer

1.   I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 36 eller fornødne garantier i henhold til artikel 37 fastsætter medlemsstaterne bestemmelser om, at en overførsel eller en kategori af overførsler af personoplysninger til et tredjeland eller en international organisation kun må finde sted, såfremt overførslen er nødvendig:

a)

for at beskytte den registreredes eller en anden persons vitale interesser

b)

for at beskytte den registreredes legitime interesser, hvis det er fastsat i national ret i den medlemsstat, der overfører personoplysningerne

c)

for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed

d)

i enkeltsager med henblik på artikel 1, stk. 1, eller

e)

i en enkeltsag for, at retskrav kan fastlægges, gøres gældende eller forsvares med henblik på artikel 1, stk. 1.

2.   Personoplysninger må ikke overføres, hvis den overførende kompetente myndighed fastslår, at den pågældende registreredes grundlæggende rettigheder og frihedsrettigheder går forud for samfundets interesse i overførslen, jf. stk. 1, litra d) og e).

3.   En overførsel, der er hjemlet i stk. 1, skal dokumenteres, og dokumentationen stilles til rådighed for tilsynsmyndigheden efter anmodning og skal omfatte dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og angivelse af de overførte personoplysninger.

Artikel 39

Overførsler af personoplysninger til modtagere i tredjelande

1.   Uanset artikel 35, stk. 1, litra b), og uden at det berører en eventuel international aftale, jf. nærværende artikels stk. 2, kan EU-retten eller medlemsstaternes nationale ret fastsætte bestemmelser om, at de kompetente myndigheder omhandlet i artikel 3, nr. 7), litra a), i enkeltstående og specifikke tilfælde skal overføre personoplysninger direkte til modtagere i tredjelande, men kun hvis de øvrige bestemmelser i dette direktiv overholdes, og alle af følgende betingelser er opfyldt:

a)

overførslen er strengt nødvendig for den overførende kompetente myndigheds udførelse af en opgave som fastlagt i EU-retten eller medlemsstaternes nationale ret med henblik på artikel 1, stk. 1

b)

den overførende kompetente myndighed fastslår, at ingen af den pågældende registreredes grundlæggende rettigheder og frihedsrettigheder går forud for samfundets interesse, der nødvendiggør overførslen i det foreliggende tilfælde

c)

den overførende kompetente myndighed mener, at overførslen til en myndighed, der i tredjelandet er kompetent med henblik på artikel 1, stk. 1, er ineffektiv eller uhensigtsmæssig, navnlig fordi overførslen ikke kan foretages i tide

d)

den myndighed, der i tredjelandet er kompetent med henblik på artikel 1, stk. 1, underrettes uden unødig forsinkelse, medmindre dette er ineffektivt eller uhensigtsmæssigt

e)

den overførende kompetente myndighed underretter modtageren om det eller de specifikke formål, hvortil sidstnævnte udelukkende kan behandle personoplysningerne, forudsat at denne behandling er nødvendig.

2.   En international aftale, jf. stk. 1, skal være en bilateral eller multilateral international aftale, der er indgået mellem medlemsstater og tredjelande om retligt samarbejde i straffesager og politisamarbejde.

3.   Den overførende kompetente myndighed underretter tilsynsmyndigheden om overførsler i medfør af denne artikel.

4.   Hvis en overførsel er hjemlet i stk. 1, skal denne overførsel dokumenteres.

Artikel 40

Internationalt samarbejde om beskyttelse af personoplysninger

Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer de nødvendige foranstaltninger til at:

a)

udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lovgivningen om beskyttelse af personoplysninger

b)

yde international gensidig bistand i håndhævelse af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder

c)

inddrage relevante parter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger

d)

fremme udveksling og dokumentation af lovgivningen om beskyttelse af personoplysninger og praksis på området, herunder om kompetencekonflikter med tredjelande.

KAPITEL VI

Uafhængige tilsynsmyndigheder

Afdeling 1

Uafhængig status

Artikel 41

Tilsynsmyndighed

1.   Hver medlemsstat fastsætter bestemmelser om, at en eller flere uafhængige offentlige myndigheder skal være ansvarlige for at føre tilsyn med anvendelsen af dette direktiv, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).

2.   Hver enkelt tilsynsmyndighed bidrager til den ensartede anvendelse af dette direktiv i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapitel VII.

3.   Medlemsstaterne kan fastsætte bestemmelser om, at en tilsynsmyndighed, der er oprettet ved forordning (EU) 2016/679, skal være den tilsynsmyndighed, der er omhandlet i dette direktiv, og skal overdrages ansvaret for de opgaver, som skal udføres af den tilsynsmyndighed, der skal oprettes i medfør af denne artikels stk. 1.

4.   Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat en tilsynsmyndighed, der skal repræsentere disse myndigheder i det i artikel 51 omhandlede databeskyttelsesråd.

Artikel 42

Uafhængighed

1.   Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal udføre sine opgaver og udøve sine beføjelser i henhold til dette direktiv i fuld uafhængighed.

2.   Medlemsstaterne fastsætter bestemmelser om, at medlemmet eller medlemmerne af deres tilsynsmyndigheder i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til dette direktiv skal være frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og at de hverken søger eller modtager instrukser fra andre.

3.   Medlemmer af medlemsstaternes tilsynsmyndigheder skal afholde sig fra enhver handling, der er uforenelig med deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed.

4.   Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tekniske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med og deltagelse i Databeskyttelsesrådet.

5.   Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed vælger og råder over sit eget personale, der alene er under ledelse af medlemmet eller medlemmerne af den pågældende tilsynsmyndighed.

6.   Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed, og at den fører særskilte, offentlige årsbudgetter, der kan være en del af det samlede statsbudget eller nationale budget.

Artikel 43

Generelle betingelser for medlemmer af en tilsynsmyndighed

1.   Medlemsstaterne fastsætter bestemmelser om, at hvert medlem af deres tilsynsmyndigheder skal udnævnes efter en gennemsigtig procedure af:

deres parlament

deres regering

deres statschef, eller

et uafhængigt organ, der i henhold til medlemsstaternes nationale ret har fået overdraget ansvaret for udnævnelsen.

2.   Hvert medlem skal have de kvalifikationer, den erfaring og den kompetence, navnlig på området beskyttelse af personoplysninger, der er nødvendig for at varetage dets hverv og udøve dets beføjelser.

3.   Et medlems hverv ophører ved udløbet af embedsperioden, ved frivillig fratrædelse eller ved obligatorisk fratrædelse i henhold til den pågældende medlemsstats nationale ret.

4.   Et medlem må kun afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis medlemmet ikke længere opfylder betingelserne for at varetage sit hverv.

Artikel 44

Regler om oprettelse af en tilsynsmyndighed

1.   Hver medlemsstat fastsætter ved lov bestemmelse om alle af følgende:

a)

den enkelte tilsynsmyndigheds oprettelse

b)

de nødvendige kvalifikationer og udvælgelseskriterier, der skal være opfyldt for at kunne blive udnævnt til medlem af den enkelte tilsynsmyndighed

c)

reglerne og procedurerne for udnævnelsen af medlemmet eller medlemmerne af den enkelte tilsynsmyndighed

d)

embedsperioden for medlemmet eller medlemmerne af den enkelte tilsynsmyndighed, som skal være mindst fire år, med undtagelse af den første udnævnelse efter den 6. maj 2016, som kan være af kortere varighed, hvis det er nødvendigt for at beskytte den pågældende tilsynsmyndigheds uafhængighed ved hjælp af en forskudt udnævnelsesprocedure

e)

om og i bekræftende fald i hvor mange embedsperioder medlemmet eller medlemmerne af den enkelte tilsynsmyndighed kan genudnævnes

f)

betingelserne vedrørende forpligtelserne for den enkelte tilsynsmyndigheds medlem eller medlemmer og personale, forbud mod handlinger, hverv og fordele, der er uforenelige hermed, under og efter embedsperioden samt regler for arbejdsophør.

2.   Den enkelte tilsynsmyndigheds medlem eller medlemmer og personale har i overensstemmelse med EU-retten eller medlemsstaternes nationale ret såvel under som efter deres embedsperiode tavshedspligt for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udførelsen af deres opgaver eller udøvelsen af deres beføjelser. I deres embedsperiode gælder denne tavshedspligt især indberetninger fra fysiske personer af overtrædelser af dette direktiv.

Afdeling 2

Kompetence, opgaver og beføjelser

Artikel 45

Kompetence

1.   Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal have kompetence til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med dette direktiv, på dens egen medlemsstats område.

2.   Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed ikke skal have kompetence til at føre tilsyn med domstolenes behandlingsaktiviteter, når de handler i deres egenskab af domstol. Medlemsstaterne kan fastsætte bestemmelser om, at deres tilsynsmyndighed ikke skal have kompetence til at føre tilsyn med andre uafhængige judicielle myndigheders behandlingsaktiviteter, når de udfører deres judicielle opgaver.

Artikel 46

Opgaver

1.   Hver medlemsstat fastsætter for sit område bestemmelser om, at den enkelte tilsynsmyndighed skal:

a)

føre tilsyn med og håndhæve anvendelsen af de bestemmelser, der vedtages i henhold til dette direktiv, og gennemførelsesbestemmelserne hertil

b)

fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling

c)

i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling

d)

fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i medfør af dette direktiv

e)

efter anmodning informere alle registrerede om udøvelsen af deres rettigheder i medfør af dette direktiv og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant

f)

behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 55, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

g)

kontrollere, om en behandling er lovlig i henhold til artikel 17, og i henhold til nævnte artikels stk. 3 underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget

h)

samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand med henblik på at sikre ensartet anvendelse og håndhævelse af dette direktiv

i)

gennemføre undersøgelser om anvendelsen af dette direktiv, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed

j)

holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen for informations- og kommunikationsteknologi

k)

rådgive om behandlingsaktiviteter som omhandlet i artikel 28, og

l)

bidrage til Databeskyttelsesrådets aktiviteter.

2.   Hver tilsynsmyndighed letter indgivelsen af klager, jf. stk. 1, litra f), gennem foranstaltninger som f.eks. en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

3.   Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den registrerede og for databeskyttelsesrådgiveren.

4.   Hvis en anmodning er åbenbart grundløs eller uforholdsmæssig, især fordi den gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr baseret på dens administrative omkostninger eller afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler tilsynsmyndigheden.

Artikel 47

Beføjelser

1.   Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive undersøgelsesbeføjelser. Disse beføjelser skal som minimum indeholde beføjelse til af den dataansvarlige eller databehandleren at få indsigt i alle de personoplysninger, der er under behandling, og alle oplysninger, der kræves til udførelse af myndighedens opgaver.

2.   Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive korrigerende beføjelser såsom f.eks.:

a)

at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med de bestemmelser, der vedtages i henhold til dette direktiv

b)

at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med de bestemmelser, der vedtages i henhold til dette direktiv, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist, navnlig ved at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16

c)

midlertidigt eller definitivt at begrænse, herunder forbyde, behandling.

3.   Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive rådgivningsbeføjelser til at rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 28, og på eget initiativ eller efter anmodning at afgive udtalelser til dens nationale parlament og dens regering eller i henhold til sin nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger.

4.   Udøvelsen af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, som fastsat i EU-retten og medlemsstaternes nationale ret i overensstemmelse med chartret.

5.   Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i henhold til dette direktiv, for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve de bestemmelser, der vedtages i henhold til dette direktiv.

Artikel 48

Indberetning af overtrædelser

Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal indføre effektive mekanismer, som tilskynder til fortrolig indberetning af overtrædelser af dette direktiv.

Artikel 49

Aktivitetsrapport

Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed, eventuelt med en liste over, hvilke typer overtrædelser der er blevet anmeldt, og hvilke typer sanktioner der er blevet pålagt. Disse rapporter fremsendes til det nationale parlament, regeringen og andre myndigheder, der er udpeget i henhold til medlemsstaternes nationale ret. De gøres tilgængelige for offentligheden, Kommissionen og Databeskyttelsesrådet.

KAPITEL VII

Samarbejde

Artikel 50

Gensidig bistand

1.   Hver medlemsstat fastsætter bestemmelser om, at deres tilsynsmyndigheder skal udveksle relevante oplysninger og yde hinanden gensidig bistand med henblik på at gennemføre og anvende dette direktiv på en ensartet måde, og træffe foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmodninger om gennemførelse af høringer, inspektioner og undersøgelser.

2.   Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal træffe alle passende foranstaltninger, som er nødvendige for at besvare en anmodning fra en anden tilsynsmyndighed uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger om gennemførelsen af en undersøgelse.

3.   Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grunden til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmodningen.

4.   Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:

a)

den ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger, som den anmodes om at iværksætte, eller

b)

imødekommelse af anmodningen ville udgøre en overtrædelse af dette direktiv eller af EU-ret eller medlemsstaternes nationale ret, som den tilsynsmyndighed, der modtager anmodningen, er underlagt.

5.   Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller efter omstændighederne om fremskridtene med de foranstaltninger, der er truffet for at imødekomme anmodningen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at imødekomme en anmodning i henhold til stk. 4.

6.   Anmodede tilsynsmyndigheder fremsender som hovedregel de oplysninger, som andre tilsynsmyndigheder anmoder om, elektronisk i et standardformat.

7.   Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstaltninger, der træffes af dem på grundlag af en anmodning om gensidig bistand. Tilsynsmyndighederne kan vedtage regler om at godtgøre hinanden for specifikke udgifter, der opstår under ekstraordinære omstændigheder, når der ydes gensidig bistand.

8.   Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge format og procedurer for gensidig bistand som omhandlet i denne artikel og ordninger for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

Artikel 51

Databeskyttelsesrådets opgaver

1.   Databeskyttelsesrådet, der er oprettet ved forordning (EU) 2016/679, udøver alle af følgende opgaver i forbindelse med behandling af personoplysninger inden for dette direktivs anvendelsesområde:

a)

rådgiver Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen, herunder om ethvert forslag til ændring af dette direktiv

b)

undersøger, på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen ethvert spørgsmål vedrørende anvendelsen af dette direktiv og udsteder retningslinjer, henstillinger og bedste praksis for at fremme ensartet anvendelse af dette direktiv

c)

udarbejder retningslinjer for tilsynsmyndighederne vedrørende anvendelse af foranstaltninger, jf. artikel 47, stk. 1 og 3

d)

udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette afsnits litra b) med henblik på fastlæggelse af brud på persondatasikkerheden og den unødige forsinkelse omhandlet i artikel 30, stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataansvarlig eller en databehandler har pligt til at anmelde brud på persondatasikkerheden

e)

udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette afsnits litra b) vedrørende de omstændigheder, hvor et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som omhandlet i artikel 31, stk. 1

f)

gennemgår den praktiske anvendelse af de retningslinjer og henstillinger og den bedste praksis, der er omhandlet i litra b) og c)

g)

afgive udtalelse til Kommissionen med henblik på vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation, herunder vurdering af, om et sådant tredjeland, et sådant område, en sådan specifik sektor eller en sådan international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau

h)

fremmer samarbejdet og en effektiv bilateral og multilateral udveksling af oplysninger og bedste praksis mellem tilsynsmyndighederne

i)

fremmer fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne og i relevante tilfælde med tilsynsmyndighederne i tredjelande eller med internationale organisationer

j)

fremmer udveksling af viden og dokumentation vedrørende databeskyttelsesret og -praksis med datatilsynsmyndigheder over hele verden.

For så vidt angår første afsnit, litra g), forelægger Kommissionen Databeskyttelsesrådet al nødvendig dokumentation for, herunder korrespondance med regeringen i tredjelandet, med området eller den specifikke sektor i tredjelandet, eller med den internationale organisation.

2.   Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under hensyntagen til, hvor meget den pågældende sag haster.

3.   Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og det udvalg, der er omhandlet i artikel 58, stk. 1, og offentliggør dem.

4.   Kommissionen underretter Databeskyttelsesrådet om sin opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Databeskyttelsesrådet.

KAPITEL VIII

Retsmidler, ansvar og sanktioner

Artikel 52

Ret til at indgive klage til en tilsynsmyndighed

1.   Uden at det berører andre administrative klageadgange eller adgang til retsmidler, fastsætter medlemsstaterne bestemmelser om, at enhver registreret skal have ret til at indgive klage til en enkelt tilsynsmyndighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder de bestemmelser, der vedtages i henhold til dette direktiv.

2.   Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til, uden unødig forsinkelse skal videresende den til den kompetente tilsynsmyndighed, hvis klagen ikke er indgivet til den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1. Den registrerede underrettes om videresendelsen.

3.   Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til, skal yde supplerende bistand efter den registreredes anmodning.

4.   Den kompetente tilsynsmyndighed underretter den registrerede om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 53.

Artikel 53

Adgang til effektive retsmidler over for en tilsynsmyndighed

1.   Uden at det berører andre administrative eller udenretslige klageadgange, fastsætter medlemsstaterne bestemmelser om, at enhver fysisk eller juridisk person har ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

2.   Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 52, inden for tre måneder.

3.   Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved en domstol i den medlemsstat, hvor tilsynsmyndigheden er etableret.

Artikel 54

Adgang til et effektivt retsmiddel over for en dataansvarlig eller databehandler

Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 52, fastsætter medlemsstaterne bestemmelser om, at en registreret skal have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder fastsat i bestemmelser, der er vedtaget i henhold til dette direktiv, er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med dette direktiv.

Artikel 55

Repræsentation af registrerede

Medlemsstaterne fastsætter i overensstemmelse med medlemsstaternes nationale retsplejeregler bestemmelser om, at den registrerede skal have ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med medlemsstaternes nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage på sine vegne og til at udøve de rettigheder, der er omhandlet i artikel 52, 53 og 54, på sine vegne.

Artikel 56

Ret til erstatning

Medlemsstaterne fastsætter bestemmelser om, at enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden handling, der overtræder de nationale bestemmelser, der vedtages i henhold til dette direktiv, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller en anden myndighed, der er kompetent i henhold til medlemsstaternes nationale ret.

Artikel 57

Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de bestemmelser, der vedtages i henhold til dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

KAPITEL IX

Gennemførelsesretsakter

Artikel 58

Udvalgsprocedure

1.   Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.   Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

3.   Når der henvises til dette stykke, finder artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med dennes artikel 5 anvendelse.

KAPITEL X

Afsluttende bestemmelser

Artikel 59

Ophævelse af rammeafgørelse 2008/977/RIA

1.   Rammeafgørelse 2008/977/RIA ophæves med virkning fra den 6. maj 2018.

2.   Henvisninger til den ophævede afgørelse, jf. stk. 1, gælder som henvisninger til dette direktiv.

Artikel 60

EU-retsakter, der allerede er i kraft

De særlige bestemmelser til beskyttelse af personoplysninger i EU-retsakter, der den eller inden den 6. maj 2016 er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regulerer behandling mellem medlemsstaterne og medlemsstaternes udpegede myndigheders adgang til informationssystemer, der er oprettet i henhold til traktaterne inden for dette direktivs anvendelsesområde, berøres ikke.

Artikel 61

Forhold til tidligere indgåede internationale aftaler på området for retligt samarbejde i straffesager og politisamarbejde

Internationale aftaler, der omfatter overførsel af personoplysninger til tredjelande eller internationale organisationer, som er indgået af medlemsstaterne inden den 6. maj 2016, og som overholder den EU-ret, der finder anvendelse inden denne dato, forbliver i kraft, indtil de ændres, erstattes eller ophæves.

Artikel 62

Kommissionsrapporter

1.   Senest den 6. maj 2022 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om evaluering og revision af dette direktiv. Rapporterne skal offentliggøres.

2.   I forbindelse med de i stk. 1 omhandlede evalueringer og revisioner undersøger Kommissionen navnlig, hvordan kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisationer anvendes og fungerer, særlig med hensyn til afgørelser vedtaget i henhold til artikel 36, stk. 3, og artikel 39.

3.   Kommissionen kan med henblik på stk. 1 og 2 anmode om oplysninger fra medlemsstaterne og tilsynsmyndighederne.

4.   Når Kommissionen foretager evaluering og revision, jf. stk. 1 og 2, tager den hensyn til holdninger og resultater fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.

5.   Kommissionen forelægger om nødvendigt relevante forslag med henblik på ændring af dette direktiv, navnlig under hensyntagen til udviklingen inden for informationsteknologi og i lyset af fremskridtene i informationssamfundet.

6.   Senest den 6. maj 2019 gennemgår Kommissionen andre vedtagne EU-retsakter, som regulerer de kompetente myndigheders behandling med henblik på artikel 1, stk. 1, herunder dem, der er omhandlet i artikel 60, for at vurdere behovet for at tilpasse dem til dette direktiv og, hvis det er hensigtsmæssigt, at fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for dette direktivs anvendelsesområde.

Artikel 63

Gennemførelse

1.   Medlemsstaterne vedtager og offentliggør senest den 6. maj 2018 de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen teksten til disse love og bestemmelser. De anvender disse love og bestemmelser fra den 6. maj 2018.

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for henvisningen.

2.   Uanset stk. 1 kan en medlemsstat i ekstraordinære tilfælde, og hvis det er uforholdsmæssigt vanskeligt, fastsætte bestemmelser om, at automatiske behandlingssystemer, der er indført før den 6. maj 2016, skal bringes i overensstemmelse med artikel 25, stk. 1, senest den 6. maj 2023.

3.   Uanset denne artikels stk. 1 og 2 kan en medlemsstat under ekstraordinære omstændigheder bringe et automatisk behandlingssystem som omhandlet i denne artikels stk. 2 i overensstemmelse med artikel 25, stk. 1, inden for en nærmere angivet periode efter den periode, der er omhandlet i nærværende artikels stk. 2, hvis det i modsat fald ville forårsage alvorlige vanskeligheder for driften af det pågældende automatiske behandlingssystem. Den pågældende medlemsstat meddeler Kommissionen årsagerne til disse alvorlige vanskeligheder og årsagerne til den angivne periode, inden for hvilken den bringer det pågældende automatiske behandlingssystem i overensstemmelse med artikel 25, stk. 1. Den angivne periode må under ingen omstændigheder være senere end den 6. maj 2026.

4.   Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 64

Ikrafttræden

Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 65

Adressater

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 27. april 2016.

På Europa-Parlamentets vegne

M. SCHULZ

Formand

På Rådets vegne

J.A. HENNIS-PLASSCHAERT

Formand


(1)  EUT C 391 af 18.12.2012, s. 127.

(2)  Europa-Parlamentets holdning af 12.3.2014 (endnu ikke offentliggjort i EUT) og Rådets førstebehandlingsholdning af 8.4.2016 (endnu ikke offentliggjort i EUT). Europa-Parlamentets holdning af 14.4.2016.

(3)  Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

(4)  Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT L 350 af 30.12.2008, s. 60).

(5)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (se side 1 i denne EUT).

(6)  Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(7)  Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(8)  Rådets fælles holdning 2005/69/RIA af 24. januar 2005 om udveksling af bestemte oplysninger med Interpol (EUT L 27 af 29.1.2005, s. 61).

(9)  Rådets afgørelse 2007/533/RIA af 12. juni 2007 om oprettelse, drift og brug af anden generation af Schengen-informationssystemet (SIS II) (EUT L 205 af 7.8.2007, s. 63).

(10)  Rådets direktiv 77/249/EØF af 22. marts 1977 om lettelser med henblik på den faktiske gennemførelse af advokaters fri udveksling af tjenesteydelser (EFT L 78 af 26.3.1977, s. 17).

(11)  Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(12)  Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (EUT L 210 af 6.8.2008, s. 1).

(13)  Rådets retsakt af 29. maj 2000 om udarbejdelse i henhold til artikel 34 i traktaten om Den Europæiske Union af konventionen om gensidig retshjælp i straffesager mellem Den Europæiske Unions medlemsstater (EFT C 197 af 12.7.2000, s. 1).

(14)  Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).

(15)  EFT L 176 af 10.7.1999, s. 36.

(16)  EUT L 53 af 27.2.2008, s. 52.

(17)  EUT L 160 af 18.6.2011, s. 21.

(18)  EUT C 192 af 30.6.2012, s. 7.


Top