|
|
DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
|
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
|
|
of 24 October 1995
|
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -
|
|
on the protection of individuals with regard to the processing of personal data and on the free movement of such data
|
under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 100 A,
|
|
|
under henvisning til forslag fra Kommissionen (1),
|
|
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
|
under henvisning til udtalelse fra Det Økonomiske og Sociale Udvalg (2),
|
|
Having regard to the Treaty establishing the European Community, and in particular Article 100a thereof,
|
i henhold til fremgangsmåden i traktatens artikel 189 B, stk.3 (3), og
|
|
Having regard to the proposal from the Commission (1),
|
ud fra følgende betragtninger:
|
|
Having regard to the opinion of the Economic and Social Committee (2),
|
(1) Fællesskabets målsætninger, der er nedfældet i traktaten, som ændret ved traktaten om Den Europæiske Union, er at gennemføre en stadig snævrere sammenslutning mellem de europæiske folk, at skabe snævrere forbindelser mellem de stater, som det forener, gennem fælles handling at sikre økonomiske og sociale fremskridt ved at fjerne de skranker, der deler Europa, stadig at forbedre dets folks levevilkår, at bevare og styrke freden og friheden samt at fremme demokratiet på grundlag af de grundlæggende rettigheder, der er anerkendt i medlemsstaternes forfatninger og love, samt i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder;
|
|
Acting in accordance with the procedure referred to in Article 189b of the Treaty (3),
|
(2) databehandlingssystemer er til for menneskets skyld; de skal være i overensstemmelse med de grundlæggende rettigheder og frihedsrettigheder, der gælder for fysiske personer, uanset statsborgerskab og bopæl, herunder retten til privatlivets fred, og bidrage til at sikre økonomiske og sociale fremskridt og til at fremme samhandelen og det enkelte menneskes velfærd;
|
|
(1) Whereas the objectives of the Community, as laid down in the Treaty, as amended by the Treaty on European Union, include creating an ever closer union among the peoples of Europe, fostering closer relations between the States belonging to the Community, ensuring economic and social progress by common action to eliminate the barriers which divide Europe, encouraging the constant improvement of the living conditions of its peoples, preserving and strengthening peace and liberty and promoting democracy on the basis of the fundamental rights recognized in the constitution and laws of the Member States and in the European Convention for the Protection of Human Rights and Fundamental Freedoms;
|
(3) det indre markeds oprettelse og funktion, som i henhold til traktatens artikel 7 A indebærer fri bevægelighed for varer, personer, tjenesteydelser, og kapital, forudsætter ikke blot, at personoplysninger kan cirkulere frit fra én medlemsstat til en anden, men også, at det enkelte menneskes grundlæggende rettigheder beskyttes;
|
|
(2) Whereas data-processing systems are designed to serve man; whereas they must, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably the right to privacy, and contribute to economic and social progress, trade expansion and the well-being of individuals;
|
(4) personoplysninger benyttes stadigt hyppigere inden for de forskellige områder af det økonomiske liv og samfundslivet i Fællesskabet; fremskridtene på det informationsteknologiske område gør det betydeligt nemmere at behandle og udveksle sådanne oplysninger;
|
|
(3) Whereas the establishment and functioning of an internal market in which, in accordance with Article 7a of the Treaty, the free movement of goods, persons, services and capital is ensured require not only that personal data should be able to flow freely from one Member State to another, but also that the fundamental rights of individuals should be safeguarded;
|
(5) den økonomiske og sociale integration, der er en følge af det indre markeds oprettelse og funktion efter traktatens artikel 7 A, vil uvægerligt medføre en kraftig vækst i strømmen af personoplysninger på tværs af landegrænserne mellem alle aktører i medlemsstaternes økonomiske liv og samfundslivet, både inden for den private og den offentlige sektor; udvekslingen af personoplysninger mellem virksomheder i de forskellige medlemsstater kan ikke undgå at tage til i omfang; medlemsstaternes myndigheder vil som led i gennemførelsen af fællesskabsretten skulle samarbejde og udveksle personoplysninger indbyrdes for at kunne varetage deres opgaver og udføre hverv på vegne af en anden medlemsstats myndighed inden for det område uden indre grænser, som det indre marked indebærer;
|
|
(4) Whereas increasingly frequent recourse is being had in the Community to the processing of personal data in the various spheres of economic and social activity; whereas the progress made in information technology is making the processing and exchange of such data considerably easier;
|
(6) udbygningen af det teknisk-videnskabelige samarbejde og den koordinerede etablering af nye telekommunikationsnet i Fællesskabet gør det endvidere nødvendigt og nemmere at udveksle personoplysninger på tværs af landegrænserne;
|
|
(5) Whereas the economic and social integration resulting from the establishment and functioning of the internal market within the meaning of Article 7a of the Treaty will necessarily lead to a substantial increase in cross-border flows of personal data between all those involved in a private or public capacity in economic and social activity in the Member States; whereas the exchange of personal data between undertakings in different Member States is set to increase; whereas the national authorities in the various Member States are being called upon by virtue of Community law to collaborate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State within the context of the area without internal frontiers as constituted by the internal market;
|
(7) forskellen i den beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, som de enkelte medlemsstater yder i forbindelse med behandling af personoplysninger, kan forhindre, at oplysninger af denne art videregives fra én medlemsstats område til en anden medlemsstats område; denne forskel kan derved udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på fællesskabsplan, virke konkurrencefordrejende og hindre de nationale myndigheder i at udføre de opgaver, som påhviler dem i henhold til fællesskabsretten; denne forskel i beskyttelsesniveauet hidrører fra forskellene i de nationale love og administrative bestemmelser;
|
|
(6) Whereas, furthermore, the increase in scientific and technical cooperation and the coordinated introduction of new telecommunications networks in the Community necessitate and facilitate cross-border flows of personal data;
|
(8) for at hindringerne for udveksling af personoplysninger kan fjernes, skal beskyttelsen af det enkelte menneskes rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstaterne; denne målsætning er af grundlæggende betydning for det indre marked, men kan ikke realiseres af medlemsstaterne alene, navnlig på grund af omfanget af de nuværende forskelle mellem de nationale love på området, og fordi det er nødvendigt at samordne medlemsstaternes lovgivninger, så udveksling af personoplysninger på tværs af landegrænserne underlægges et samlet regelsæt, der er i overensstemmelse med målsætningen om det indre marked som fastsat i traktatens artikel 7 A; det er derfor nødvendigt, at Fællesskabet tager skridt til at gennemføre en indbyrdes tilnærmelse af lovgivningerne;
|
|
(7) Whereas the difference in levels of protection of the rights and freedoms of individuals, notably the right to privacy, with regard to the processing of personal data afforded in the Member States may prevent the transmission of such data from the territory of one Member State to that of another Member State; whereas this difference may therefore constitute an obstacle to the pursuit of a number of economic activities at Community level, distort competition and impede authorities in the discharge of their responsibilities under Community law; whereas this difference in levels of protection is due to the existence of a wide variety of national laws, regulations and administrative provisions;
|
(9) med den ensartede beskyttelse, som vil følge af den indbyrdes tilnærmelse af de nationale lovgivninger, vil medlemsstaterne ikke længere under henvisning til det enkelte menneskes rettigheder og frihedsrettigheder, navnlig retten til privatlivets fred, kunne lægge hindringer i vejen for den frie udveksling af personoplysninger medlemsstaterne imellem; medlemsstaterne vil få en manøvremargen, som erhvervslivet og arbejdsmarkedets parter kan benytte sig af i forbindelse med direktivets gennemførelse; de vil således i deres nationale lovgivning kunne fastsætte de generelle betingelser for lovlig behandling af personoplysninger; medlemsstaterne skal derved tilsigte en forbedring af den beskyttelse, som deres nuværende lovgivning sikrer; inden for rammerne af denne manøvremargen og i overensstemmelse med fællesskabsretten kan der forekomme forskelle i gennemførelsen af direktivet, og dette kan få konsekvenser for udvekslingen af oplysninger såvel inden for den enkelte medlemsstat som på fællesskabsplan;
|
|
(8) Whereas, in order to remove the obstacles to flows of personal data, the level of protection of the rights and freedoms of individuals with regard to the processing of such data must be equivalent in all Member States; whereas this objective is vital to the internal market but cannot be achieved by the Member States alone, especially in view of the scale of the divergences which currently exist between the relevant laws in the Member States and the need to coordinate the laws of the Member States so as to ensure that the cross-border flow of personal data is regulated in a consistent manner that is in keeping with the objective of the internal market as provided for in Article 7a of the Treaty; whereas Community action to approximate those laws is therefore needed;
|
(10) medlemsstaternes lovgivning om behandling af personoplysninger skal sikre overholdelsen af de grundlæggende rettigheder og frihedsrettigheder, navnlig den ret til privatlivets fred, der er fastslået i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder og i fællesskabsrettens generelle principper; af denne grund må en indbyrdes tilnærmelse af lovgivningerne ikke medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet;
|
|
(9) Whereas, given the equivalent protection resulting from the approximation of national laws, the Member States will no longer be able to inhibit the free movement between them of personal data on grounds relating to protection of the rights and freedoms of individuals, and in particular the right to privacy; whereas Member States will be left a margin for manoeuvre, which may, in the context of implementation of the Directive, also be exercised by the business and social partners; whereas Member States will therefore be able to specify in their national law the general conditions governing the lawfulness of data processing; whereas in doing so the Member States shall strive to improve the protection currently provided by their legislation; whereas, within the limits of this margin for manoeuvre and in accordance with Community law, disparities could arise in the implementation of the Directive, and this could have an effect on the movement of data within a Member State as well as within the Community;
|
(11) dette direktivs princip om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, er en præcisering og udvidelse af principperne i Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med databehandling af personoplysninger;
|
|
(10) Whereas the object of the national laws on the processing of personal data is to protect fundamental rights and freedoms, notably the right to privacy, which is recognized both in Article 8 of the European Convention for the Protection of Human Rights and Fundamental Freedoms and in the general principles of Community law; whereas, for that reason, the approximation of those laws must not result in any lessening of the protection they afford but must, on the contrary, seek to ensure a high level of protection in the Community;
|
(12) principperne om beskyttelse skal finde anvendelse på enhver behandling af personoplysninger, foretaget af en person, hvis aktiviteter falder ind under fællesskabsrettens anvendelsesområde; en fysisk persons behandling af oplysninger som led i rent personlige eller familiemæssige aktiviteter som f.eks. korrespondance og føring af en adressefortegnelse, bør dog ikke være omfattet;
|
|
(11) Whereas the principles of the protection of the rights and freedoms of individuals, notably the right to privacy, which are contained in this Directive, give substance to and amplify those contained in the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to Automatic Processing of Personal Data;
|
(13) aktiviteterne i afsnit V og VI i traktaten om Den Europæiske Union vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og statens aktiviteter på det strafferetlige område hører ikke under fællesskabsrettens anvendelsesområde, uden at dette berører de forpligtelser, der påhviler medlemsstaterne i henhold til traktatens artikel 56, stk. 2, artikel 57 og artikel 100 A; den behandling af personoplysninger, som kræves for at beskytte statens økonomiske interesser, er ikke omfattet af dette direktiv, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed;
|
|
(12) Whereas the protection principles must apply to all processing of personal data by any person whose activities are governed by Community law; whereas there should be excluded the processing of data carried out by a natural person in the exercise of activities which are exclusively personal or domestic, such as correspondence and the holding of records of addresses;
|
(14) der gøres for tiden betydelige fremskridt inden for informationssamfundet med hensyn til udvikling af metoder til at registrere, udsende, bearbejde, lagre, opbevare og videresende oplysninger om fysiske personer via lyd og billede, og det er derfor nødvendigt, at dette direktiv finder anvendelse på behandling af sådanne oplysninger;
|
|
(13) Whereas the acitivities referred to in Titles V and VI of the Treaty on European Union regarding public safety, defence, State security or the acitivities of the State in the area of criminal laws fall outside the scope of Community law, without prejudice to the obligations incumbent upon Member States under Article 56 (2), Article 57 or Article 100a of the Treaty establishing the European Community; whereas the processing of personal data that is necessary to safeguard the economic well-being of the State does not fall within the scope of this Directive where such processing relates to State security matters;
|
(15) behandling af sådanne oplysninger er kun omfattet af dette direktiv, hvis den foregår ved hjælp af elektronisk databehandling, eller hvis de pågældende oplysninger er indeholdt i eller skal indgå i et register, der er struktureret efter bestemte kriterier vedrørende personerne for at lette adgangen til de pågældende personoplysninger;
|
|
(14) Whereas, given the importance of the developments under way, in the framework of the information society, of the techniques used to capture, transmit, manipulate, record, store or communicate sound and image data relating to natural persons, this Directive should be applicable to processing involving such data;
|
(16) behandling af lyd- og billeddata, som f.eks. i forbindelse med video-overvågning, er ikke omfattet af dette direktiv, hvis den iværksættes med henblik på den offentlige sikkerhed, forsvar, statens sikkerhed eller statens aktiviteter på det strafferetlige område eller andre aktiviteter, der ikke falder ind under fællesskabsretten;
|
|
(15) Whereas the processing of such data is covered by this Directive only if it is automated or if the data processed are contained or are intended to be contained in a filing system structured according to specific criteria relating to individuals, so as to permit easy access to the personal data in question;
|
(17) med hensyn til behandling af lyd- og billeddata, der finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, navnlig på det audiovisuelle område, finder direktivets principper begrænset anvendelse i henhold til bestemmelserne i artikel 9;
|
|
(16) Whereas the processing of sound and image data, such as in cases of video surveillance, does not come within the scope of this Directive if it is carried out for the purposes of public security, defence, national security or in the course of State activities relating to the area of criminal law or of other activities which do not come within the scope of Community law;
|
(18) for at forhindre, at en person unddrages den beskyttelse, der sikres ved dette direktiv, skal enhver behandling af personoplysninger inden for Fællesskabet være i overensstemmelse med lovgivningen i en af medlemsstaterne; med henblik herpå bør enhver behandling af oplysninger være underkastet lovgivningen i den medlemsstat, hvor den registeransvarlige, under hvis myndighed behandlingen udføres, er etableret;
|
|
(17) Whereas, as far as the processing of sound and image data carried out for purposes of journalism or the purposes of literary or artistic expression is concerned, in particular in the audiovisual field, the principles of the Directive are to apply in a restricted manner according to the provisions laid down in Article 9;
|
(19) ved etablering på en medlemsstats område forstås faktisk udøvelse af aktiviteter gennem en mere permanent struktur; den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse; en registeransvarlig, som er etableret på flere medlemsstaters område, især i form af datterselskaber, skal, navnlig for at undgå omgåelse, sikre sig, at hver enkelt struktur opfylder kravene i den gældende nationale lovgivning;
|
|
(18) Whereas, in order to ensure that individuals are not deprived of the protection to which they are entitled under this Directive, any processing of personal data in the Community must be carried out in accordance with the law of one of the Member States; whereas, in this connection, processing carried out under the responsibility of a controller who is established in a Member State should be governed by the law of that State;
|
(20) den omstændighed, at den registeransvarlige er etableret i et tredjeland, må ikke hindre personer i at nyde den beskyttelse, der fastsættes ved dette direktiv; den pågældende behandling bør i så fald underkastes lovgivningen i den medlemsstat, hvor de hjælpemidler, der benyttes til behandlingen, befinder sig, og der bør stilles garanti for, at de rettigheder og forpligtelser, der følger af dette direktiv, også overholdes;
|
|
(19) Whereas establishment on the territory of a Member State implies the effective and real exercise of activity through stable arrangements; whereas the legal form of such an establishment, whether simply branch or a subsidiary with a legal personality, is not the determining factor in this respect; whereas, when a single controller is established on the territory of several Member States, particularly by means of subsidiaries, he must ensure, in order to avoid any circumvention of national rules, that each of the establishments fulfils the obligations imposed by the national law applicable to its activities;
|
(21) dette direktiv berører ikke de territorialbestemmelser, der gælder i straffesager;
|
|
(20) Whereas the fact that the processing of data is carried out by a person established in a third country must not stand in the way of the protection of individuals provided for in this Directive; whereas in these cases, the processing should be governed by the law of the Member State in which the means used are located, and there should be guarantees to ensure that the rights and obligations provided for in this Directive are respected in practice;
|
(22) medlemsstaterne fastsætter i deres lovgivning eller i de bestemmelser i øvrigt, der vedtages til gennemførelse af dette direktiv, nærmere bestemmelser om, på hvilke generelle betingelser en behandling er lovlig; især artikel 5 giver i forbindelse med artikel 7 og 8 medlemsstaterne mulighed for uafhængigt af de generelle regler at fastsætte særlige betingelser for databehandling på specifikke områder og med hensyn til de særlige kategorier af de oplysninger, der omhandles i artikel 8;
|
|
(21) Whereas this Directive is without prejudice to the rules of territoriality applicable in criminal matters;
|
(23) medlemsstaterne er bemyndigede til at gennemføre beskyttelsen af personer såvel ved en generel lov om beskyttelse af personer i forbindelse med behandling af personoplysninger som ved særlove, f.eks. for statistikinstitutter;
|
|
(22) Whereas Member States shall more precisely define in the laws they enact or when bringing into force the measures taken under this Directive the general circumstances in which processing is lawful; whereas in particular Article 5, in conjunction with Articles 7 and 8, allows Member States, independently of general rules, to provide for special processing conditions for specific sectors and for the various categories of data covered by Article 8;
|
(24) dette direktiv berører ikke national lovgivning, der beskytter juridiske personer i forbindelse med behandlingen af oplysninger, som vedrører dem;
|
|
(23) Whereas Member States are empowered to ensure the implementation of the protection of individuals both by means of a general law on the protection of individuals as regards the processing of personal data and by sectorial laws such as those relating, for example, to statistical institutes;
|
(25) principperne om beskyttelse skal dels afspejles i de forskellige forpligtelser, der påhviler personer, offentlige myndigheder, virksomheder, organer eller andre databehandlingsansvarlige, navnlig for så vidt angår oplysningernes pålidelighed, den tekniske sikkerhed, anmeldelse til tilsynsmyndigheden og de omstændigheder, hvorunder behandlingen må udføres, og dels i de rettigheder, der tilkommer de personer, hvis personoplysninger gøres til genstand for behandling, bl.a. retten til at blive underrettet om en behandling, til indsigt, til at kunne kræve oplysninger berigtiget, men også til under visse omstændigheder at gøre indsigelse mod en behandling;
|
|
(24) Whereas the legislation concerning the protection of legal persons with regard to the processing data which concerns them is not affected by this Directive;
|
(26) beskyttelsesprincipperne skal gælde enhver oplysning om en identificeret eller identificerbar person; for at afgøre, om en person er identificerbar, tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person; beskyttelsesprincipperne gælder ikke oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres; adfærdskodekser i henhold til artikel 27 kan være et nyttigt instrument til at angive måder, hvorpå oplysningerne kan gøres anonyme og opbevares i en sådan form, at den registrerede ikke længere kan identificeres;
|
|
(25) Whereas the principles of protection must be reflected, on the one hand, in the obligations imposed on persons, public authorities, enterprises, agencies or other bodies responsible for processing, in particular regarding data quality, technical security, notification to the supervisory authority, and the circumstances under which processing can be carried out, and, on the other hand, in the right conferred on individuals, the data on whom are the subject of processing, to be informed that processing is taking place, to consult the data, to request corrections and even to object to processing in certain circumstances;
|
(27) fysiske personer skal beskyttes såvel i forbindelse med elektronisk databehandling af oplysninger som i forbindelse med ikke-elektronisk behandling; omfanget af beskyttelsen må i praksis ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse; for så vidt angår manuel behandling omfatter dette direktiv dog kun registre og ikke sagsmapper, der ikke er strukturerede; navnlig skal indholdet af et register være struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til personoplysningerne; i overensstemmelse med definitionen i artikel 2, litra c), kan de forskellige kriterier, der gør det muligt at bestemme de enkelte dele i en struktureret samling af personoplysninger, samt de forskellige kriterier for adgang til denne samling af oplysninger defineres af hver enkelt medlemsstat; sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, hører under ingen omstændigheder ind under dette direktivs anvendelsesområde;
|
|
(26) Whereas the principles of protection must apply to any information concerning an identified or identifiable person; whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person; whereas the principles of protection shall not apply to data rendered anonymous in such a way that the data subject is no longer identifiable; whereas codes of conduct within the meaning of Article 27 may be a useful instrument for providing guidance as to the ways in which data may be rendered anonymous and retained in a form in which identification of the data subject is no longer possible;
|
(28) enhver behandling af personoplysninger skal udføres rimeligt og lovligt i forhold til de registrerede; oplysninger, der behandles, skal være tilstrækkelige, relevante og nødvendige i forhold til behandlingsformålene; behandlingsformålene skal være udtrykkeligt angivet, legitime og skal fastlægges ved indsamlingen af oplysningerne; behandlingsformål, der fastlægges senere end indsamlingen, må ikke være uforenelige med de oprindeligt angivne formål;
|
|
(27) Whereas the protection of individuals must apply as much to automatic processing of data as to manual processing; whereas the scope of this protection must not in effect depend on the techniques used, otherwise this would create a serious risk of circumvention; whereas, nonetheless, as regards manual processing, this Directive covers only filing systems, not unstructured files; whereas, in particular, the content of a filing system must be structured according to specific criteria relating to individuals allowing easy access to the personal data; whereas, in line with the definition in Article 2 (c), the different criteria for determining the constituents of a structured set of personal data, and the different criteria governing access to such a set, may be laid down by each Member State; whereas files or sets of files as well as their cover pages, which are not structured according to specific criteria, shall under no circumstances fall within the scope of this Directive;
|
(29) senere behandling af personoplysninger navnlig i historisk, statistisk eller videnskabeligt øjemed er generelt ikke uforenelig med de formål, som den tidligere indsamling af oplysningerne havde, såfremt medlemsstaterne giver de fornødne garantier; disse garantier skal især udelukke, at oplysningerne bliver anvendt til at underbygge foranstaltninger eller afgørelser, der træffes over for en bestemt person;
|
|
(28) Whereas any processing of personal data must be lawful and fair to the individuals concerned; whereas, in particular, the data must be adequate, relevant and not excessive in relation to the purposes for which they are processed; whereas such purposes must be explicit and legitimate and must be determined at the time of collection of the data; whereas the purposes of processing further to collection shall not be incompatible with the purposes as they were originally specified;
|
(30) for at være lovlig skal en behandling af personoplysninger desuden bero på den registreredes samtykke eller være nødvendig med henblik på indgåelse eller opfyldelse af en kontrakt, der har bindende virkning for den registrerede, eller være begrundet i et lovkrav, i udførelsen af opgaver i almenhedens interesse, i udøvelsen af embedsmyndighed eller i en persons legitime interesse, medmindre den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder går forud herfor; med særligt henblik på at tilgodese de involverede interesser ligeligt og samtidig sikre en effektiv konkurrence kan medlemsstaterne fastsætte nærmere bestemmelser om, på hvilke betingelser anvendelse og videregivelse af personoplysninger til tredjemand kan finde sted i forbindelse med legitime aktiviteter udøvet af virksomheder og andre organer som led i den daglige drift; de kan ligeledes fastsætte nærmere bestemmelser om, på hvilke betingelser videregivelse af personoplysninger til tredjemand kan finde sted i forbindelse med markedsføring eller markedsundersøgelser, der udføres af velgørende organisationer eller andre sammenslutninger eller stiftelser, f.eks. af politisk karakter, under overholdelse af bestemmelser, som har til formål at give den registrerede mulighed for uden begrundelse og udgifter at gøre indsigelse mod, at sådanne oplysninger behandles;
|
|
(29) Whereas the further processing of personal data for historical, statistical or scientific purposes is not generally to be considered incompatible with the purposes for which the data have previously been collected provided that Member States furnish suitable safeguards; whereas these safeguards must in particular rule out the use of the data in support of measures or decisions regarding any particular individual;
|
(31) behandling af personoplysninger, der har til formål at beskytte et hensyn af fundamental betydning for den registreredes liv, anses ligeledes for lovlig;
|
|
(30) Whereas, in order to be lawful, the processing of personal data must in addition be carried out with the consent of the data subject or be necessary for the conclusion or performance of a contract binding on the data subject, or as a legal requirement, or for the performance of a task carried out in the public interest or in the exercise of official authority, or in the legitimate interests of a natural or legal person, provided that the interests or the rights and freedoms of the data subject are not overriding; whereas, in particular, in order to maintain a balance between the interests involved while guaranteeing effective competition, Member States may determine the circumstances in which personal data may be used or disclosed to a third party in the context of the legitimate ordinary business activities of companies and other bodies; whereas Member States may similarly specify the conditions under which personal data may be disclosed to a third party for the purposes of marketing whether carried out commercially or by a charitable organization or by any other association or foundation, of a political nature for example, subject to the provisions allowing a data subject to object to the processing of data regarding him, at no cost and without having to state his reasons;
|
(32) medlemsstaterne træffer afgørelse om, hvorvidt den registeransvarlige, der udfører en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, skal være en offentlig myndighed eller en anden offentligretlig eller privatretlig person, f.eks. en faglig sammenslutning;
|
|
(31) Whereas the processing of personal data must equally be regarded as lawful where it is carried out in order to protect an interest which is essential for the data subject's life;
|
(33) oplysninger, som ifølge deres art kan krænke de grundlæggende frihedsrettigheder eller privatlivets fred, må ikke gøres til genstand for behandling uden den registreredes udtrykkelige samtykke; der skal dog udtrykkeligt gives mulighed for undtagelser fra dette forbud for at imødekomme visse behov, navnlig i sådanne tilfælde, hvor databehandlingen udføres med bestemte sundhedsmæssige formål og af personer, der er underkastet tavshedspligt, eller i forbindelse med visse foreningers eller stiftelsers legitime aktiviteter, hvis formål er at sikre udøvelsen af grundlæggende frihedsrettigheder;
|
|
(32) Whereas it is for national legislation to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public administration or another natural or legal person governed by public law, or by private law such as a professional association;
|
(34) når hensynet til vigtige samfundsmæssige interesser berettiger det, skal medlemsstaterne ligeledes kunne fravige forbuddet mod at behandle følsomme kategorier af data på områder som f.eks. folkesundhed og social sikring - navnlig for at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning - videnskabelig forskning og offentlig statistik; det påhviler imidlertid medlemsstaterne at sørge for de fornødne specifikke garantier for beskyttelsen af det enkelte menneskes grundlæggende rettigheder og privatliv;
|
|
(33) Whereas data which are capable by their nature of infringing fundamental freedoms or privacy should not be processed unless the data subject gives his explicit consent; whereas, however, derogations from this prohibition must be explicitly provided for in respect of specific needs, in particular where the processing of these data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy or in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms;
|
(35) offentlige myndigheders behandling af personoplysninger for officielt anerkendte religiøse sammenslutninger for at opfylde mål, der er fastsat i forfatningsretten eller i folkeretten, udføres af hensyn til vigtige samfundsmæssige interesser;
|
|
(34) Whereas Member States must also be authorized, when justified by grounds of important public interest, to derogate from the prohibition on processing sensitive categories of data where important reasons of public interest so justify in areas such as public health and social protection - especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system - scientific research and government statistics; whereas it is incumbent on them, however, to provide specific and suitable safeguards so as to protect the fundamental rights and the privacy of individuals;
|
(36) hvis det i forbindelse med afholdelse af valg i visse medlemsstater er nødvendigt, for at det demokratiske system kan fungere, at politiske partier indsamler oplysninger om enkeltpersoners politiske holdning, kan behandling af sådanne oplysninger tillades af hensyn til varetagelsen af vigtige samfundsmæssige interesser, forudsat, at der fastsættes bestemmelser om de fornødne garantier;
|
|
(35) Whereas, moreover, the processing of personal data by official authorities for achieving aims, laid down in constitutional law or international public law, of officially recognized religious associations is carried out on important grounds of public interest;
|
(37) der bør fastsættes undtagelser fra eller begrænsninger af visse bestemmelser i dette direktiv i forbindelse med behandling af personoplysninger i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, navnlig på det audiovisuelle område, for så vidt sådanne undtagelser er nødvendige for at forene det enkelte menneskes grundlæggende rettigheder med ytringsfriheden, herunder retten til at modtage og give oplysninger, som fastslået bl.a. i artikel 10 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder; det påhviler derfor medlemsstaterne med henblik på afvejning mellem de grundlæggende rettigheder at fastsætte de nødvendige undtagelser og begrænsninger for så vidt angår de generelle foranstaltninger vedrørende lovligheden af behandling af oplysninger, foranstaltningerne til overførsel af oplysninger til tredjelande samt tilsynsmyndighedernes beføjelser. Dette må dog ikke føre til, at medlemsstaterne fastsætter undtagelser fra de foranstaltninger, der tager sigte på at garantere behandlingssikkerheden. Der bør endvidere gives den kontrolmyndighed, der er ansvarlig for dette område, i det mindste visse efterfølgende beføjelser, som f.eks. beføjelsen til med jævne mellemrum at offentliggøre en rapport eller at indbringe sager for de retslige myndigheder;
|
|
(36) Whereas where, in the course of electoral activities, the operation of the democratic system requires in certain Member States that political parties compile data on people's political opinion, the processing of such data may be permitted for reasons of important public interest, provided that appropriate safeguards are established;
|
(38) en rimelig behandling af oplysninger forudsætter, at de registrerede kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtig og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen;
|
|
(37) Whereas the processing of personal data for purposes of journalism or for purposes of literary of artistic expression, in particular in the audiovisual field, should qualify for exemption from the requirements of certain provisions of this Directive in so far as this is necessary to reconcile the fundamental rights of individuals with freedom of information and notably the right to receive and impart information, as guaranteed in particular in Article 10 of the European Convention for the Protection of Human Rights and Fundamental Freedoms; whereas Member States should therefore lay down exemptions and derogations necessary for the purpose of balance between fundamental rights as regards general measures on the legitimacy of data processing, measures on the transfer of data to third countries and the power of the supervisory authority; whereas this should not, however, lead Member States to lay down exemptions from the measures to ensure security of processing; whereas at least the supervisory authority responsible for this sector should also be provided with certain ex-post powers, e.g. to publish a regular report or to refer matters to the judicial authorities;
|
(39) visse behandlinger vedrører oplysninger, som den ansvarlige ikke har indsamlet direkte hos den registrerede; endvidere kan der berettiget videregives oplysninger til tredjemand, selv om dette ikke var hensigten, da oplysningerne blev indsamlet hos den registrerede; i disse tilfælde skal den pågældende underrettes, når oplysningerne registreres, eller senest når oplysningerne første gang videregives til tredjemand;
|
|
(38) Whereas, if the processing of data is to be fair, the data subject must be in a position to learn of the existence of a processing operation and, where data are collected from him, must be given accurate and full information, bearing in mind the circumstances of the collection;
|
(40) det er imidlertid ikke nødvendigt at pålægge en sådan underretningspligt, hvis den registrerede allerede er bekendt med de registrerede oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat i loven, eller hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende, hvilket kan være tilfældet i forbindelse med behandlinger i historisk, statistisk eller videnskabeligt øjemed; i denne forbindelse kan der tages hensyn til antallet af registrerede, oplysningernes alder samt de kompensatoriske foranstaltninger, der kan træffes;
|
|
(39) Whereas certain processing operations involve data which the controller has not collected directly from the data subject; whereas, furthermore, data can be legitimately disclosed to a third party, even if the disclosure was not anticipated at the time the data were collected from the data subject; whereas, in all these cases, the data subject should be informed when the data are recorded or at the latest when the data are first disclosed to a third party;
|
(41) enhver skal have ret til indsigt i de oplysninger om sig selv, som gøres til genstand for behandling, så den pågældende kan forvisse sig om oplysningernes rigtighed og behandlingens lovlighed; af samme årsag skal enhver have ret til at kende den logik, der ligger bag edb-behandlingen af oplysningerne om sig selv, i det mindste i forbindelse med edb-baserede afgørelser, som omhandlet i artikel 15, stk. 1; denne ret må ikke krænke forretningshemmeligheden eller den intellektuelle ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af; dette må dog ikke resultere i, at den registrerede nægtes alle oplysninger;
|
|
(40) Whereas, however, it is not necessary to impose this obligation of the data subject already has the information; whereas, moreover, there will be no such obligation if the recording or disclosure are expressly provided for by law or if the provision of information to the data subject proves impossible or would involve disproportionate efforts, which could be the case where processing is for historical, statistical or scientific purposes; whereas, in this regard, the number of data subjects, the age of the data, and any compensatory measures adopted may be taken into consideration;
|
(42) medlemsstaterne kan af hensyn til den registreredes interesser eller med henblik på at beskytte andres rettigheder og frihedsrettigheder begrænse retten til indsigt og til underretning; de kan f.eks. fastsætte, at adgang til medicinske oplysninger kun kan finde sted via en person, der udøver en profession inden for sundhedsvæsenet;
|
|
(41) Whereas any person must be able to exercise the right of access to data relating to him which are being processed, in order to verify in particular the accuracy of the data and the lawfulness of the processing; whereas, for the same reasons, every data subject must also have the right to know the logic involved in the automatic processing of data concerning him, at least in the case of the automated decisions referred to in Article 15 (1); whereas this right must not adversely affect trade secrets or intellectual property and in particular the copyright protecting the software; whereas these considerations must not, however, result in the data subject being refused all information;
|
(43) medlemsstaterne kan ligeledes indskrænke retten til indsigt og underretning samt visse af den registeransvarliges forpligtelser, såfremt dette er nødvendigt af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed eller væsentlige økonomiske og finansielle interesser i medlemsstaten eller Unionen samt efterforskning og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv; undtagelser og begrænsninger bør omfatte kontrol-, tilsyns- og reguleringsopgaver, der er nødvendige på de tre sidstnævnte områder vedrørende den offentlige sikkerhed, de økonomiske og finansielle interesser og retsforfølgning i straffesager; dette berører ikke det berettigede i undtagelser og begrænsninger af hensyn til statens sikkerhed eller forsvaret;
|
|
(42) Whereas Member States may, in the interest of the data subject or so as to protect the rights and freedoms of others, restrict rights of access and information; whereas they may, for example, specify that access to medical data may be obtained only through a health professional;
|
(44) medlemsstaterne kan i medfør af fællesskabsrettens bestemmelser blive nødt til at fravige bestemmelserne i dette direktiv vedrørende indsigt, underretning af de registrerede og oplysningernes kvalitet for at sikre visse af ovenstående mål;
|
|
(43) Whereas restrictions on the rights of access and information and on certain obligations of the controller may similarly be imposed by Member States in so far as they are necessary to safeguard, for example, national security, defence, public safety, or important economic or financial interests of a Member State or the Union, as well as criminal investigations and prosecutions and action in respect of breaches of ethics in the regulated professions; whereas the list of exceptions and limitations should include the tasks of monitoring, inspection or regulation necessary in the three last-mentioned areas concerning public security, economic or financial interests and crime prevention; whereas the listing of tasks in these three areas does not affect the legitimacy of exceptions or restrictions for reasons of State security or defence;
|
(45) hvor behandling af personoplysninger kan foregå fuldt lovligt i almenvellets interesse, af hensyn til offentlig myndighedsudøvelse eller i en persons legitime interesse, bør enhver ikke desto mindre være berettiget til, hvis han på grund af egne særlige forhold har tungtvejende og legitime grunde hertil, at gøre indsigelse mod, at oplysningerne om ham selv gøres til genstand for behandling; medlemsstaterne har imidlertid mulighed for at vedtage nationale bestemmelser om det modsatte;
|
|
(44) Whereas Member States may also be led, by virtue of the provisions of Community law, to derogate from the provisions of this Directive concerning the right of access, the obligation to inform individuals, and the quality of data, in order to secure certain of the purposes referred to above;
|
(46) beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger forudsætter, at der træffes de fornødne tekniske og organisatoriske foranstaltninger både under selve udformningen og under iværksættelsen af en behandling, navnlig for at varetage sikkerheden og derved forhindre enhver form for ubeføjet behandling; det påhviler medlemsstaterne at sørge for, at de registeransvarlige overholder disse foranstaltninger; disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, der skal beskyttes;
|
|
(45) Whereas, in cases where data might lawfully be processed on grounds of public interest, official authority or the legitimate interests of a natural or legal person, any data subject should nevertheless be entitled, on legitimate and compelling grounds relating to his particular situation, to object to the processing of any data relating to himself; whereas Member States may nevertheless lay down national provisions to the contrary;
|
(47) når en meddelelse, der indeholder personoplysninger, fremsendes via en telekommunikations- eller elektronisk posttjeneste, hvis eneste formål er at sende meddelelser af denne type, er det den person, som er ophavsmand til meddelelsen, og ikke den person, der tilbyder tjenesten, der normalt vil blive betragtet som ansvarlig for behandlingen af de personoplysninger, der er indeholdt i meddelelsen; de personer, som udbyder disse tjenester, vil dog normalt blive betragtet som ansvarlige for behandlingen af de supplerende personoplysninger, der er nødvendige for tjenestens udførelse;
|
|
(46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected;
|
(48) anmeldelsesprocedurerne tager sigte på at gøre en behandlings formål samt dens vigtigste karakteristika offentlig kendt med henblik på kontrol af behandlingens overholdelse af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv;
|
|
(47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service, the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in the message will normally be considered to be the person from whom the message originates, rather than the person offering the transmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect of the processing of the additional personal data necessary for the operation of the service;
|
(49) for at undgå overflødige administrative formaliteter kan medlemsstaterne fastsætte fritagelser for og lempelser af anmeldelsespligten for behandlinger, der ikke vil kunne krænke de registreredes rettigheder og frihedsrettigheder, og som er i overensstemmelse med en retsakt, der er udstedt af en medlemsstat, og som fastsætter begrænsningerne herfor; medlemsstaten kan ligeledes give mulighed for forenklet anmeldelse eller fritagelse for anmeldelse, hvor en person med ansvar for databeskyttelse, der udpeges af den registeransvarlige, har kunnet fastslå, at den foretagne behandling ikke vil kunne krænke de registreredes rettigheder og frihedsrettigheder; den person, der har ansvar for databeskyttelse, skal, uanset om han er ansat hos den registeransvarlige eller ej, være i stand til at udøve sit hverv i fuld uafhængighed;
|
|
(48) Whereas the procedures for notifying the supervisory authority are designed to ensure disclosure of the purposes and main features of any processing operation for the purpose of verification that the operation is in accordance with the national measures taken under this Directive;
|
(50) der kan fastsættes fritagelse for anmeldelse eller forenklet anmeldelse i forbindelse med behandlinger, hvis eneste formål er at føre registre, som er udarbejdet i henhold til national ret med henblik på at stille oplysninger til rådighed for offentligheden eller for personer, der kan godtgøre en legitim interesse heri;
|
|
(49) Whereas, in order to avoid unsuitable administrative formalities, exemptions from the obligation to notify and simplification of the notification required may be provided for by Member States in cases where processing is unlikely adversely to affect the rights and freedoms of data subjects, provided that it is in accordance with a measure taken by a Member State specifying its limits; whereas exemption or simplification may similarly be provided for by Member States where a person appointed by the controller ensures that the processing carried out is not likely adversely to affect the rights and freedoms of data subjects; whereas such a data protection official, whether or not an employee of the controller, must be in a position to exercise his functions in complete independence;
|
(51) den omstændighed, at den registeransvarlige er omfattet af den forenklede anmeldelsespligt eller fritaget for anmeldelsespligt, fritager ikke den registeransvarlige for de øvrige forpligtelser, der følger af dette direktiv;
|
|
(50) Whereas exemption or simplification could be provided for in cases of processing operations whose sole purpose is the keeping of a register intended, according to national law, to provide information to the public and open to consultation by the public or by any person demonstrating a legitimate interest;
|
(52) efterfølgende kontrol fra myndighedernes side skal i den forbindelse generelt betragtes som tilstrækkelig;
|
|
(51) Whereas, nevertheless, simplification or exemption from the obligation to notify shall not release the controller from any of the other obligations resulting from this Directive;
|
(53) dog vil visse behandlinger på grund af deres art, omfang eller formål kunne indebære en særlig risiko for at krænke de registreredes rettigheder og frihedsrettigheder, f.eks. behandlinger, der har til formål at udelukke den registrerede fra at udøve en ret, modtage en ydelse eller opnå en kontrakt, eller som indebærer anvendelse af ny teknologi; medlemsstaterne må, hvis de ønsker det, præcisere denne risiko i deres lovgivning;
|
|
(52) Whereas, in this context, ex post facto verification by the competent authorities must in general be considered a sufficient measure;
|
(54) i forhold til alle de behandlinger, der iværksættes i samfundet, skulle det antal behandlinger, der indebærer en særlig risiko, være meget begrænset; medlemsstaterne skal fastsætte bestemmelser om, at tilsynsmyndigheden eller den person, der har ansvar for databeskyttelse, i samråd med tilsynsmyndigheden skal foretage en kontrol af disse behandlinger, inden de iværksættes; tilsynsmyndigheden kan, efter at kontrollen er foretaget, og i overensstemmelse med den nationale lovgivning udtale sig om eller give tilladelse til den pågældende behandling; den forudgående kontrol kan også foretages som led i udarbejdelsen af en lov, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lov, som fastlægger karakteren af behandlingen og fastsætter de fornødne garantier;
|
|
(53) Whereas, however, certain processing operation are likely to pose specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, such as that of excluding individuals from a right, benefit or a contract, or by virtue of the specific use of new technologies; whereas it is for Member States, if they so wish, to specify such risks in their legislation;
|
(55) krænker den registeransvarlige en registrerets rettigheder, skal der i medlemsstaternes lovgivning gives adgang til at indbringe sagen for en retsinstans; personer, som lider skade som følge af en ulovlig behandling, skal have ret til erstatning fra den registeransvarlige; denne kan fritages for erstatningsansvar, hvis det bevises, at han ikke er skyld i den forvoldte skade, navnlig hvis der kan henvises til en fejl fra den registreredes side eller et tilfælde af force majeure; der skal iværksættes sanktioner over for såvel privatretlige som offentlige personer, der overtræder nationale bestemmelser vedtaget med henblik på gennemførelsen af dette direktiv;
|
|
(54) Whereas with regard to all the processing undertaken in society, the amount posing such specific risks should be very limited; whereas Member States must provide that the supervisory authority, or the data protection official in cooperation with the authority, check such processing prior to it being carried out; whereas following this prior check, the supervisory authority may, according to its national law, give an opinion or an authorization regarding the processing; whereas such checking may equally take place in the course of the preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing and lays down appropriate safeguards;
|
(56) strømmen af personoplysninger på tværs af landegrænserne er nødvendig af hensyn til udbygningen af den internationale samhandel; den beskyttelse, der ved dette direktiv garanteres personer inden for Fællesskabet, er ikke til hinder for, at der videregives personoplysninger til tredjelande, for så vidt disse sikrer et tilstrækkeligt beskyttelsesniveau; vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, skal foretages på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger;
|
|
(55) Whereas, if the controller fails to respect the rights of data subjects, national legislation must provide for a judicial remedy; whereas any damage which a person may suffer as a result of unlawful processing must be compensated for by the controller, who may be exempted from liability if he proves that he is not responsible for the damage, in particular in cases where he establishes fault on the part of the data subject or in case of force majeure; whereas sanctions must be imposed on any person, whether governed by private of public law, who fails to comply with the national measures taken under this Directive;
|
(57) hvis et tredjeland derimod ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal videregivelse af personoplysninger til det pågældende land forbydes;
|
|
(56) Whereas cross-border flows of personal data are necessary to the expansion of international trade; whereas the protection of individuals guaranteed in the Community by this Directive does not stand in the way of transfers of personal data to third countries which ensure an adequate level of protection; whereas the adequacy of the level of protection afforded by a third country must be assessed in the light of all the circumstances surrounding the transfer operation or set of transfer operations;
|
(58) der skal dog kunne undtages fra dette forbud under bestemte omstændigheder, hvor den registrerede har meddelt sit samtykke, hvor videregivelsen er nødvendig i forbindelse med en kontrakt eller en retssag, hvor beskyttelsen af væsentlige samfundsinteresser kræver det, f.eks. ved international udveksling af oplysninger mellem skatte- eller toldforvaltninger eller mellem socialsikringsmyndigheder, eller hvor videregivelsen sker fra et register, der er oprettet ved lov, og som offentligheden eller personer med en legitim interesse heri skal kunne konsultere; en sådan videregivelse bør ikke omfatte alle oplysningerne eller hele kategorier af oplysninger i dette register; når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, bør videregivelse kun ske på anmodning af disse personer, eller hvis de selv er modtageren;
|
|
(57) Whereas, on the other hand, the transfer of personal data to a third country which does not ensure an adequate level of protection must be prohibited;
|
(59) der kan træffes særlige foranstaltninger til at afhjælpe et utilstrækkeligt beskyttelsesniveau i et tredjeland, hvis den registeransvarlige stiller de fornødne garantier; endvidere skal der fastsættes bestemmelser om forhandlingsprocedurer mellem Fællesskabet og de pågældende tredjelande;
|
|
(58) Whereas provisions should be made for exemptions from this prohibition in certain circumstances where the data subject has given his consent, where the transfer is necessary in relation to a contract or a legal claim, where protection of an important public interest so requires, for example in cases of international transfers of data between tax or customs administrations or between services competent for social security matters, or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest; whereas in this case such a transfer should not involve the entirety of the data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or if they are to be the recipients;
|
(60) videregivelse til tredjelande må under alle omstændigheder kun finde sted under fuld overholdelse af de bestemmelser, som medlemsstaterne vedtager i medfør af dette direktiv, særlig artikel 8;
|
|
(59) Whereas particular measures may be taken to compensate for the lack of protection in a third country in cases where the controller offers appropriate safeguards; whereas, moreover, provision must be made for procedures for negotiations between the Community and such third countries;
|
(61) medlemsstaterne og Kommissionen skal inden for deres respektive kompetenceområder opfordre de berørte erhvervskredse til at udarbejde adfærdskodekser med henblik på, under hensyn til de særlige former for behandling, der udføres i bestemte sektorer, at fremme iværksættelsen af dette direktiv under overholdelse af de bestemmelser, medlemsstaterne har truffet til gennemførelse deraf;
|
|
(60) Whereas, in any event, transfers to third countries may be effected only in full compliance with the provisions adopted by the Member States pursuant to this Directive, and in particular Article 8 thereof;
|
(62) oprettelsen af en uafhængig tilsynsmyndighed i hver medlemsstat har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger;
|
|
(61) Whereas Member States and the Commission, in their respective spheres of competence, must encourage the trade associations and other representative organizations concerned to draw up codes of conduct so as to facilitate the application of this Directive, taking account of the specific characteristics of the processing carried out in certain sectors, and respecting the national provisions adopted for its implementation;
|
(63) denne myndighed skal tildeles de fornødne beføjelser til at varetage denne opgave, herunder undersøgelses- og interventionsbeføjelser, navnlig når det drejer sig om klager, samt beføjelse til at indbringe sager for en retsinstans; myndigheden skal bidrage til at tilvejebringe gennemsigtighed i de databehandlinger, der udføres i den medlemsstat, hvorunder den hører;
|
|
(62) Whereas the establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of individuals with regard to the processing of personal data;
|
(64) tilsynsmyndighederne i de enkelte medlemsstater skal yde hinanden bistand i forbindelse med varetagelsen af deres opgaver for at sikre, at beskyttelsesreglerne overholdes fuldt ud overalt i Den Europæiske Union;
|
|
(63) Whereas such authorities must have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, and powers to engage in legal proceedings; whereas such authorities must help to ensure transparency of processing in the Member States within whose jurisdiction they fall;
|
(65) der skal på fællesskabsplan nedsættes en arbejdsgruppe om beskyttelse af personer i forbindelse med behandling af personoplysninger; gruppen skal være fuldt uafhængig i udøvelsen af sine funktioner; i kraft af denne uafhængighed skal den rådgive Kommissionen og navnlig bidrage til, at de nationale regler, der vedtages til gennemførelse af dette direktiv, anvendes ensartet;
|
|
(64) Whereas the authorities in the different Member States will need to assist one another in performing their duties so as to ensure that the rules of protection are properly respected throughout the European Union;
|
(66) for så vidt angår videregivelse af oplysninger til tredjelande, er det nødvendigt at tillægge Kommissionen beføjelse til at udstede gennemførelsesbestemmelser og indføre en procedure i henhold til retningslinjerne i Rådets afgørelse nr. 87/373/EØF (4) for at kunne anvende dette direktiv;
|
|
(65) Whereas, at Community level, a Working Party on the Protection of Individuals with regard to the Processing of Personal Data must be set up and be completely independent in the performance of its functions; whereas, having regard to its specific nature, it must advise the Commission and, in particular, contribute to the uniform application of the national rules adopted pursuant to this Directive;
|
(67) Europa-Parlamentet, Rådet og Kommissionen nåede den 20. december 1994 til enighed om en modus vivendi vedrørende gennemførelsesforanstaltningerne til retsakter vedtaget efter fremgangsmåden i artikel 189 B i EF-traktaten;
|
|
(66) Whereas, with regard to the transfer of data to third countries, the application of this Directive calls for the conferment of powers of implementation on the Commission and the establishment of a procedure as laid down in Council Decision 87/373/EEC (1);
|
(68) de principper om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, i forbindelse med behandling af personoplysninger, som opstilles i dette direktiv, vil for visse sektorers vedkommende kunne suppleres med eller præciseres i særregler, der skal være i overensstemmelse med disse principper;
|
|
(67) Whereas an agreement on a modus vivendi between the European Parliament, the Council and the Commission concerning the implementing measures for acts adopted in accordance with the procedure laid down in Article 189b of the EC Treaty was reached on 20 December 1994;
|
(69) der bør gives medlemsstaterne en frist på højst tre år regnet fra datoen for ikrafttrædelsen af de nationale foranstaltninger, der træffes til gennemførelse af dette direktiv, for at de gradvis kan bringe de nye nationale bestemmelser i anvendelse på samtlige behandlinger, der allerede er iværksat; af hensyn til en omkostningsbevidst gennemførelse indrømmes der medlemsstaterne en yderligere periode, der udløber tolv år efter datoen for vedtagelsen af dette direktiv, til at sikre, at eksisterende ikke-elektroniske registre bringes i overensstemmelse med visse af direktivets bestemmelser; data, der er indeholdt i disse registre, og som behandles manuelt i denne udvidede overgangsperiode, skal dog på det tidspunkt, hvor de er genstand for en sådan yderligere behandling, være bragt i overensstemmelse med disse bestemmelser;
|
|
(68) Whereas the principles set out in this Directive regarding the protection of the rights and freedoms of individuals, notably their right to privacy, with regard to the processing of personal data may be supplemented or clarified, in particular as far as certain sectors are concerned, by specific rules based on those principles;
|
(70) den registrerede skal ikke på ny give sit samtykke, for at den registeransvarlige efter ikrafttrædelsen af de nationale bestemmelser i forbindelse med gennemførelsen af dette direktiv kan fortsætte behandlingen af følsomme oplysninger, når denne er nødvendig for udførelsen af en kontrakt, der er indgået på grundlag af frit og informeret samtykke inden ikrafttrædelsen af ovennævnte bestemmelser;
|
|
(69) Whereas Member States should be allowed a period of not more than three years from the entry into force of the national measures transposing this Directive in which to apply such new national rules progressively to all processing operations already under way; whereas, in order to facilitate their cost-effective implementation, a further period expiring 12 years after the date on which this Directive is adopted will be allowed to Member States to ensure the conformity of existing manual filing systems with certain of the Directive's provisions; whereas, where data contained in such filing systems are manually processed during this extended transition period, those systems must be brought into conformity with these provisions at the time of such processing;
|
(71) dette direktiv er ikke til hinder for, at en medlemsstat vedtager regler for markedsføring, der henvender sig til forbrugere, der er bosiddende på dens område, for så vidt sådanne regler ikke berører beskyttelsen af personer i forbindelse med behandlingen af personoplysninger;
|
|
(70) Whereas it is not necessary for the data subject to give his consent again so as to allow the controller to continue to process, after the national provisions taken pursuant to this Directive enter into force, any sensitive data necessary for the performance of a contract concluded on the basis of free and informed consent before the entry into force of these provisions;
|
(72) dette direktiv giver mulighed for, at der i gennemførelsen af dets bestemmelser kan tages hensyn til princippet om aktindsigt i offentlige dokumenter -
|
|
(71) Whereas this Directive does not stand in the way of a Member State's regulating marketing activities aimed at consumers residing in territory in so far as such regulation does not concern the protection of individuals with regard to the processing of personal data;
|
UDSTEDT FØLGENDE DIREKTIV:
|
|
(72) Whereas this Directive allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Directive,
|
|
|
HAVE ADOPTED THIS DIRECTIVE:
|
|
|
|
KAPITEL I ALMINDELIGE BESTEMMELSER
|
|
|
|
|
CHAPTER I GENERAL PROVISIONS
|
Artikel 1
|
|
|
Direktivets formål
|
|
Article 1
|
1. Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.
|
|
Object of the Directive
|
2. Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.
|
|
1. In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.
|
|
|
2. Member States shall neither restrict nor prohibit the free flow of personal data between Member States for reasons connected with the protection afforded under paragraph 1.
|
Artikel 2
|
|
|
Definitioner
|
|
Article 2
|
I dette direktiv forstås ved:
|
|
Definitions
|
a) »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet
|
|
For the purposes of this Directive:
|
b) »behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer - med eller uden brug af elektronisk databehandling - som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse
|
|
(a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
|
c) »register med personoplysninger« (»register«) enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag
|
|
(b) 'processing of personal data' ('processing') shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
|
d) »den registeransvarlige« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved nationale love eller forskrifter eller på fællesskabsplan, kan den registeransvarlige, eller de specifikke kriterier for udpegelse af denne, angives i den pågældende nationale ret eller i fællesskabsretten
|
|
(c) 'personal data filing system' ('filing system') shall mean any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis;
|
e) »registerfører« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne
|
|
(d) 'controller' shall mean the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by national or Community laws or regulations, the controller or the specific criteria for his nomination may be designated by national or Community law;
|
f) »tredjemand« enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den registeransvarlige, registerføreren og de personer under den registeransvarliges eller registerførerens direkte myndighed, der er beføjet til at behandle oplysningerne
|
|
(e) 'processor' shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;
|
g) »modtager« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand; myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere
|
|
(f) 'third party' shall mean any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data;
|
h) »den registreredes samtykke« enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.
|
|
(g) 'recipient' shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;
|
|
|
(h) 'the data subject's consent' shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.
|
Artikel 3
|
|
|
Anvendelsesområde
|
|
Article 3
|
1. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
|
|
Scope
|
2. Dette direktiv gælder ikke for sådan behandling af personoplysninger,
|
|
1. This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.
|
- som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område
|
|
2. This Directive shall not apply to the processing of personal data:
|
- som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter.
|
|
- in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in areas of criminal law,
|
|
|
- by a natural person in the course of a purely personal or household activity.
|
Artikel 4
|
|
|
Gældende national ret
|
|
Article 4
|
1. Medlemsstaterne anvender de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger:
|
|
National law applicable
|
a) der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret; en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning
|
|
1. Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:
|
b) der foretages af en registeransvarlig, der ikke er etableret på den pågældende medlemsstats område, men på et sted, hvor dens nationale lovgivning gælder i henhold til folkeretten
|
|
(a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;
|
c) der foretages af en registeransvarlig, der ikke er etableret på Fællesskabets område, og som med henblik på behandling af personoplysninger anvender midler, det være sig elektroniske eller ikke-elektroniske, som befinder sig på den pågældende medlemsstats område, medmindre disse midler kun benyttes med henblik på forsendelse gennem Det Europæiske Fællesskabs område.
|
|
(b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;
|
2. I det i stk. 1, litra c), omhandlede tilfælde udpeger den registeransvarlige en repræsentant, der er etableret på den pågældende medlemsstats område, uden at dette i øvrigt berører eventuelle retslige skridt mod den registeransvarlige selv.
|
|
(c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.
|
|
|
2. In the circumstances referred to in paragraph 1 (c), the controller must designate a representative established in the territory of that Member State, without prejudice to legal actions which could be initiated against the controller himself.
|
KAPITEL II ALMINDELIGE BETINGELSER FOR LOVLIG BEHANDLING AF PERSONOPLYSNINGER
|
|
|
|
|
CHAPTER II GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA
|
Artikel 5
|
|
|
Medlemsstaterne præciserer i henhold til bestemmelserne i dette kapitel, på hvilke betingelser behandling af personoplysninger er lovlig.
|
|
Article 5
|
|
|
Member States shall, within the limits of the provisions of this Chapter, determine more precisely the conditions under which the processing of personal data is lawful.
|
AFDELING I PRINCIPPER VEDRØRENDE OPLYSNINGERNES PÅLIDELIGHED
|
|
SECTION I
|
|
|
PRINCIPLES RELATING TO DATA QUALITY
|
Artikel 6
|
|
|
1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger
|
|
Article 6
|
a) skal behandles rimeligt og lovligt
|
|
1. Member States shall provide that personal data must be:
|
b) skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelig med disse formål; senere behandling af oplysninger i historisk, statistisk eller videnskabeligt øjemed anses ikke for at være uforenelig med disse formål, såfremt medlemsstaterne giver de fornødne garantier
|
|
(a) processed fairly and lawfully;
|
c) skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles
|
|
(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of data for historical, statistical or scientific purposes shall not be considered as incompatible provided that Member States provide appropriate safeguards;
|
d) skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at slette eller berigtige oplysninger, der er urigtige eller ufuldstændige i forhold til det formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt
|
|
(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;
|
e) ikke må opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt. Medlemsstaterne fastsætter de fornødne garantier for personoplysninger, der i historisk, statistisk eller videnskabeligt øjemed opbevares længere end i ovennævnte periode.
|
|
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;
|
2. Det påhviler den registeransvarlige at sikre, at bestemmelserne i stk. 1 overholdes.
|
|
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. Member States shall lay down appropriate safeguards for personal data stored for longer periods for historical, statistical or scientific use.
|
|
|
2. It shall be for the controller to ensure that paragraph 1 is complied with.
|
AFDELING II PRINCIPPER VEDRØRENDE GRUNDLAGET FOR BEHANDLING AF OPLYSNINGER
|
|
SECTION II
|
|
|
CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE
|
Artikel 7
|
|
|
Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted hvis:
|
|
Article 7
|
a) der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller
|
|
Member States shall provide that personal data may be processed only if:
|
b) behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt, eller
|
|
(a) the data subject has unambiguously given his consent; or
|
c) behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller
|
|
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or
|
d) behandlingen er nødvendig for at beskytte den registreredes vitale interesser, eller
|
|
(c) processing is necessary for compliance with a legal obligation to which the controller is subject; or
|
e) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller
|
|
(d) processing is necessary in order to protect the vital interests of the data subject; or
|
f) behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor.
|
|
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or in a third party to whom the data are disclosed; or
|
|
|
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1 (1).
|
AFDELING III SÆRLIGE KATEGORIER AF BEHANDLINGER
|
|
SECTION III
|
|
|
SPECIAL CATEGORIES OF PROCESSING
|
Artikel 8
|
|
|
Behandlinger, der vedrører særlige kategorier af oplysninger
|
|
Article 8
|
1. Medlemsstaterne forbyder behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold.
|
|
The processing of special categories of data
|
2. Stk. 1 finder ikke anvendelse, hvis
|
|
1. Member States shall prohibit the processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning health or sex life.
|
a) den registrerede udtrykkeligt har givet sit samtykke til en sådan behandling, medmindre det i medlemsstatens lovgivning fastsættes, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke, eller
|
|
2. Paragraph 1 shall not apply where:
|
b) behandlingen er nødvendig for overholdelsen af den registeransvarliges arbejdsretlige forpligtelser og specifikke rettigheder, for så vidt den er tilladt ifølge nationale lovbestemmelser, som fastsætter de fornødne garantier, eller
|
|
(a) the data subject has given his explicit consent to the processing of those data, except where the laws of the Member State provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his consent; or
|
c) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, eller
|
|
(b) processing is necessary for the purposes of carrying out the obligations and specific rights of the controller in the field of employment law in so far as it is authorized by national law providing for adequate safeguards; or
|
d) behandlingen foretages af en stiftelse, en forening eller et andet almennyttigt organ, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, på betingelse af, at behandlingen alene vedrører organets medlemmer eller personer, der på grund af organets formål er i regelmæssig kontrakt hermed, og at oplysningerne ikke videregives til tredjemand uden den registreredes samtykke, eller
|
|
(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his consent; or
|
e) behandlingen vedrører oplysninger, som klart offentliggøres af den registrerede, eller er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.
|
|
(d) processing is carried out in the course of its legitimate activities with appropriate guarantees by a foundation, association or any other non-profit-seeking body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of the body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects; or
|
3. Stk. 1 finder ikke anvendelse, hvis behandlingen af oplysningerne er nødvendig med henblik på forebyggende medicin, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og hvis behandlingen af disse oplysninger foretages af en erhvervsudøvende i sundhedssektoren, der i henhold til den nationale lovgivning eller til regler, der er fastsat af kompetente nationale organer, har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt.
|
|
(e) the processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims.
|
4. Med forbehold af, at der gives tilstrækkelige garantier, kan medlemsstaterne af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser, fastsætte andre undtagelser end dem, der er nævnt i stk. 2, enten ved national lovgivning eller ved en afgørelse truffet af tilsynsmyndigheden.
|
|
3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject under national law or rules established by national competent bodies to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.
|
5. Behandling af oplysninger om lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger må kun foretages under kontrol af en offentlig myndighed, eller hvis der gælder tilstrækkelige, specifikke garantier i medfør af den nationale lovgivning med forbehold af de undtagelser, som medlemsstaten kan fastsætte på grundlag af nationale lovbestemmelser, hvorefter der gives tilstrækkelige, specifikke garantier. Et fuldstændigt register over straffedomme må dog kun føres under kontrol af en offentlig myndighed.
|
|
4. Subject to the provision of suitable safeguards, Member States may, for reasons of substantial public interest, lay down exemptions in addition to those laid down in paragraph 2 either by national law or by decision of the supervisory authority.
|
Medlemsstaterne kan fastsætte bestemmelser om, at behandling af oplysninger vedrørende administrative sanktioner eller civile retssager ligeledes skal foretages under en offentlig myndigheds kontrol.
|
|
5. Processing of data relating to offences, criminal convictions or security measures may be carried out only under the control of official authority, or if suitable specific safeguards are provided under national law, subject to derogations which may be granted by the Member State under national provisions providing suitable specific safeguards. However, a complete register of criminal convictions may be kept only under the control of official authority.
|
6. Undtagelser fra stk. 1 som omhandlet i stk. 4 og 5 meddeles til Kommissionen.
|
|
Member States may provide that data relating to administrative sanctions or judgements in civil cases shall also be processed under the control of official authority.
|
7. Medlemsstaterne bestemmer, på hvilke betingelser et nationalt identifikationsnummer eller andre almene midler til identifikation kan gøres til genstand for behandling.
|
|
6. Derogations from paragraph 1 provided for in paragraphs 4 and 5 shall be notified to the Commission.
|
|
|
7. Member States shall determine the conditions under which a national identification number or any other identifier of general application may be processed.
|
Artikel 9
|
|
|
Behandling af personoplysninger og ytringsfriheden
|
|
Article 9
|
Medlemsstaterne fastsætter i forbindelse med behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, kun fritagelser eller undtagelser fra bestemmelserne i dette kapitel og i kapitel IV og VI, for så vidt som de er nødvendige for at forene retten til privatlivets fred med reglerne for ytringsfrihed.
|
|
Processing of personal data and freedom of expression
|
|
|
Member States shall provide for exemptions or derogations from the provisions of this Chapter, Chapter IV and Chapter VI for the processing of personal data carried out solely for journalistic purposes or the purpose of artistic or literary expression only if they are necessary to reconcile the right to privacy with the rules governing freedom of expression.
|
AFDELING IV OPLYSNINGSPLIGT OVER FOR DEN REGISTREREDE
|
|
SECTION IV
|
|
|
INFORMATION TO BE GIVEN TO THE DATA SUBJECT
|
Artikel 10
|
|
|
Oplysningspligt ved indsamling af oplysninger hos den registrerede
|
|
Article 10
|
Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes repræsentant skal give den person, hos og om hvem der indsamles oplysninger, mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:
|
|
Information in cases of collection of data from the data subject
|
a) den registeransvarliges og eventuelt dennes repræsentants identitet
|
|
Member States shall provide that the controller or his representative must provide a data subject from whom data relating to himself are collected with at least the following information, except where he already has it:
|
b) formålene med den behandling, hvortil oplysningerne er bestemt
|
|
(a) the identity of the controller and of his representative, if any;
|
c) alle yderligere informationer som f.eks.
|
|
(b) the purposes of the processing for which the data are intended;
|
- modtagerne eller kategorierne af modtagere
|
|
(c) any further information such as
|
- om det er obligatorisk eller frivilligt at besvare spørgsmålene samt mulige følger af ikke at svare
|
|
- the recipients or categories of recipients of the data,
|
- hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.
|
|
- whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply,
|
|
|
- the existence of the right of access to and the right to rectify the data concerning him
|
Artikel 11
|
|
in so far as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.
|
Oplysningspligt, når oplysningerne ikke er indsamlet hos den registrerede
|
|
|
1. Når oplysningerne ikke er indsamlet hos den registrerede, fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige eller dennes repræsentant allerede ved registreringen af oplysningerne, eller senest når oplysningerne første gang videregives til tredjemand, skal give den registrerede mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:
|
|
Article 11
|
a) den registeransvarliges og eventuelt dennes repræsentants identitet
|
|
Information where the data have not been obtained from the data subject
|
b) formålene med behandlingen
|
|
1. Where the data have not been obtained from the data subject, Member States shall provide that the controller or his representative must at the time of undertaking the recording of personal data or if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed provide the data subject with at least the following information, except where he already has it:
|
c) alle yderligere informationer som f.eks.
|
|
(a) the identity of the controller and of his representative, if any;
|
- hvilken type oplysninger det drejer sig om
|
|
(b) the purposes of the processing;
|
- modtagerne eller kategorierne af modtagere
|
|
(c) any further information such as
|
- hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.
|
|
- the categories of data concerned,
|
2. Bestemmelserne i stk. 1 finder ikke anvendelse, navnlig ikke når behandlingen foretages i statistisk øjemed eller til historiske eller videnskabelige forskningsformål, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssig vanskelig, eller registreringen eller videregivelsen af oplysningerne er udtrykkeligt fastsat ved lov. I sådanne tilfælde fastsætter medlemsstaterne de fornødne garantier.
|
|
- the recipients or categories of recipients,
|
|
|
- the existence of the right of access to and the right to rectify the data concerning him
|
AFDELING V DEN REGISTREREDES RET TIL INDSIGT
|
|
in so far as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.
|
|
|
2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by law. In these cases Member States shall provide appropriate safeguards.
|
Artikel 12
|
|
SECTION V
|
Ret til indsigt
|
|
THE DATA SUBJECT'S RIGHT OF ACCESS TO DATA
|
Medlemsstaterne sikrer enhver registreret ret til hos den registeransvarlige
|
|
|
a) frit og uhindret, med rimelige mellemrum og uden større ventetid eller større udgifter
|
|
Article 12
|
- at få oplyst, om der behandles personoplysninger om den pågældende selv, samt mindst formålene med behandlingen, hvilken type oplysninger det drejer sig om, og modtagerne eller kategorierne af modtagere af oplysningerne
|
|
Right of access
|
- at få meddelt letforståelig information om, hvilke oplysninger der er omfattet af behandlingerne, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer
|
|
Member States shall guarantee every data subject the right to obtain from the controller:
|
- at få at vide, hvilken logik der ligger bag edb-behandlingen af oplysningerne om den pågældende, i det mindste i forbindelse med edb-baserede afgørelser som omhandlet i artikel 15, stk. 1
|
|
(a) without constraint at reasonable intervals and without excessive delay or expense:
|
b) efter omstændighederne at få oplysninger, som ikke er blevet behandlet i overensstemmelse med dette direktiv, berigtiget, slettet eller blokeret, navnlig hvis de er ufuldstændige eller urigtige
|
|
- confirmation as to whether or not data relating to him are being processed and information at least as to the purposes of the processing, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed,
|
c) at få udvirket, at tredjemand, til hvem sådanne oplysninger er blevet videregivet, underrettes om enhver berigtigelse, sletning eller blokering, der er foretaget i overensstemmelse med litra b), medmindre underretning viser sig umulig eller er uforholdsmæssig vanskelig.
|
|
- communication to him in an intelligible form of the data undergoing processing and of any available information as to their source,
|
|
|
- knowledge of the logic involved in any automatic processing of data concerning him at least in the case of the automated decisions referred to in Article 15 (1);
|
AFDELING VI UNDTAGELSER OG BEGRÆNSNINGER
|
|
(b) as appropriate the rectification, erasure or blocking of data the processing of which does not comply with the provisions of this Directive, in particular because of the incomplete or inaccurate nature of the data;
|
|
|
(c) notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking carried out in compliance with (b), unless this proves impossible or involves a disproportionate effort.
|
Artikel 13
|
|
SECTION VI
|
Undtagelser og begrænsninger
|
|
EXEMPTIONS AND RESTRICTIONS
|
1. Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:
|
|
|
a) statens sikkerhed
|
|
Article 13
|
b) forsvaret
|
|
Exemptions and restrictions
|
c) den offentlige sikkerhed
|
|
1. Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6 (1), 10, 11 (1), 12 and 21 when such a restriction constitutes a necessary measures to safeguard:
|
d) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv
|
|
(a) national security;
|
e) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender
|
|
(b) defence;
|
f) en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder
|
|
(c) public security;
|
g) beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.
|
|
(d) the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;
|
2. Medlemsstaterne kan med forbehold af de fornødne lovhjemlede garantier, navnlig for at oplysningerne ikke anvendes til at træffe foranstaltninger eller afgørelser vedrørende bestemte personer, i tilfælde, hvor der klart ikke er nogen risiko for, at den registreredes ret til privatlivets fred krænkes, ved lov begrænse de i artikel 12 omhandlede rettigheder, hvis oplysningerne udelukkende behandles med videnskabelig forskning for øje eller kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker.
|
|
(e) an important economic or financial interest of a Member State or of the European Union, including monetary, budgetary and taxation matters;
|
|
|
(f) a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (c), (d) and (e);
|
AFDELING VII DEN REGISTREREDES INDSIGELSESRET
|
|
(g) the protection of the data subject or of the rights and freedoms of others.
|
|
|
2. Subject to adequate legal safeguards, in particular that the data are not used for taking measures or decisions regarding any particular individual, Member States may, where there is clearly no risk of breaching the privacy of the data subject, restrict by a legislative measure the rights provided for in Article 12 when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of creating statistics.
|
Artikel 14
|
|
SECTION VII
|
Den registreredes indsigelsesret
|
|
THE DATA SUBJECT'S RIGHT TO OBJECT
|
Medlemsstaterne indrømmer den registrerede ret til
|
|
|
a) i det mindste i de i artikel 7, litra e) og f), omhandlede tilfælde af vægtige legitime grunde, der vedrører den pågældendes særlige situation, til enhver tid at gøre indsigelse mod, at personoplysninger om ham selv gøres til genstand for behandling, medmindre andet er bestemt i den nationale lovgivning; i tilfælde af berettiget indsigelse må den af den registeransvarlige iværksatte behandling ikke længere omfatte de pågældende oplysninger
|
|
Article 14
|
b) efter anmodning og uden udgifter at modsætte sig en behandling af personoplysninger, der vedrører den pågældende, og som den registeransvarlige agter at foretage med henblik på markedsføring, eller at blive underrettet, inden personoplysningerne første gang videregives til tredjemand eller anvendes på tredjemands vegne med henblik på markedsføring, og udtrykkelig få tilbud om uden udgifter at gøre indsigelse mod en sådan videregivelse eller anvendelse.
|
|
The data subject's right to object
|
Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de registrerede er bekendt med den i litra b), første afsnit, omhandlede ret.
|
|
Member States shall grant the data subject the right:
|
|
|
(a) at least in the cases referred to in Article 7 (e) and (f), to object at any time on compelling legitimate grounds relating to his particular situation to the processing of data relating to him, save where otherwise provided by national legislation. Where there is a justified objection, the processing instigated by the controller may no longer involve those data;
|
Artikel 15
|
|
(b) to object, on request and free of charge, to the processing of personal data relating to him which the controller anticipates being processed for the purposes of direct marketing, or to be informed before personal data are disclosed for the first time to third parties or used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosures or uses.
|
Edb-behandlede individuelle afgørelser
|
|
Member States shall take the necessary measures to ensure that data subjects are aware of the existence of the right referred to in the first subparagraph of (b).
|
1. Medlemsstaterne indrømmer enhver person ret til ikke at være undergivet afgørelser, der har retsvirkning for ham, eller som berører ham i væsentlig grad, og som alene er truffet på grundlag af edb-behandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold, såsom erhvervsevne, kreditværdighed, pålidelighed, adfærd osv.
|
|
|
2. Uden at dette berører de øvrige bestemmelser i dette direktiv, fastsætter medlemsstaterne bestemmelser om, at en person kan undergives en afgørelse af den art, der er omhandlet i stk. 1, når:
|
|
Article 15
|
a) den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes legitime interesser, som f.eks. mulighed for denne til at gøre sit synspunkt gældende, eller når
|
|
Automated individual decisions
|
b) den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.
|
|
1. Member States shall grant the right to every person not to be subject to a decision which produces legal effects concerning him or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him, such as his performance at work, creditworthiness, reliability, conduct, etc.
|
|
|
2. Subject to the other Articles of this Directive, Member States shall provide that a person may be subjected to a decision of the kind referred to in paragraph 1 if that decision:
|
AFDELING VIII FORTROLIGHED OG BEHANDLINGSSIKKERHED
|
|
(a) is taken in the course of the entering into or performance of a contract, provided the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or that there are suitable measures to safeguard his legitimate interests, such as arrangements allowing him to put his point of view; or
|
|
|
(b) is authorized by a law which also lays down measures to safeguard the data subject's legitimate interests.
|
Artikel 16
|
|
SECTION VIII
|
Behandlingernes fortrolige karakter
|
|
CONFIDENTIALITY AND SECURITY OF PROCESSING
|
Enhver, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som får adgang til personoplysninger, må kun behandle disse efter instruks fra den registeransvarlige, bortset fra tilfælde der er fastsat i lovgivningen.
|
|
|
|
|
Article 16
|
Artikel 17
|
|
Confidentiality of processing
|
Behandlingssikkerhed
|
|
Any person acting under the authority of the controller or of the processor, including the processor himself, who has access to personal data must not process them except on instructions from the controller, unless he is required to do so by law.
|
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelser af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.
|
|
|
Disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes.
|
|
Article 17
|
2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, hvis oplysninger behandles for dennes regning, skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes, og skal påse, at disse foranstaltninger overholdes.
|
|
Security of processing
|
3. Gennemførelse af en behandling ved en registerfører skal ske i henhold til en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes
|
|
1. Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
|
- at registerføreren alene handler efter instruks fra den registeransvarlige
|
|
Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
|
- at forpligtelserne i henhold til stk. 1, som fastlagt i lovgivningen i den medlemsstat, hvor registerføreren er etableret, ligeledes påhviler denne.
|
|
2. The Member States shall provide that the controller must, where processing is carried out on his behalf, choose a processor providing sufficient guarantees in respect of the technical security measures and organizational measures governing the processing to be carried out, and must ensure compliance with those measures.
|
4. Med henblik på opbevaring af beviserne skal de dele i kontrakten eller det retlige dokument, der vedrører beskyttelse af oplysninger, og de krav, der vedrører de i stk. 1 omhandlede foranstaltninger, foreligge skriftligt eller i en anden tilsvarende form.
|
|
3. The carrying out of processing by way of a processor must be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:
|
|
|
- the processor shall act only on instructions from the controller,
|
AFDELING IX ANMELDELSE
|
|
- the obligations set out in paragraph 1, as defined by the law of the Member State in which the processor is established, shall also be incumbent on the processor.
|
|
|
4. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in paragraph 1 shall be in writing or in another equivalent form.
|
Artikel 18
|
|
SECTION IX
|
Anmeldelsespligt over for tilsynsmyndigheden
|
|
NOTIFICATION
|
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes eventuelle repræsentant forud for iværksættelsen af en behandling, der helt eller delvis udføres ved brug af elektronisk databehandling, eller en række sådanne behandlinger, hvis formål er identiske eller indbyrdes relaterede, skal foretage anmeldelse til den i artikel 28 omhandlede tilsynsmyndighed.
|
|
|
2. Medlemsstaterne må kun give mulighed for forenklet anmeldelse eller fritagelse for anmeldelse i følgende tilfælde og på følgende betingelser:
|
|
Article 18
|
- medlemsstaterne anfører for de typer behandling, hvor det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder eller frihedsrettigheder krænkes, behandlingens formål, hvilke oplysninger eller typer oplysninger der behandles, hvilke registrerede eller kategorier af registrerede der er tale om, til hvilke modtagere eller kategorier af modtagere oplysningerne videregives, samt hvor længe oplysningerne opbevares, og/eller
|
|
Obligation to notify the supervisory authority
|
- de registeransvarlige udpeger i overensstemmelse med den nationale lovgivning, som de er underlagt, en person med ansvar for beskyttelse af personoplysninger, som bl.a. har til opgave
|
|
1. Member States shall provide that the controller or his representative, if any, must notify the supervisory authority referred to in Article 28 before carrying out any wholly or partly automatic processing operation or set of such operations intended to serve a single purpose or several related purposes.
|
- i fuld uafhængighed at sikre den interne anvendelse af de nationale bestemmelser, der er truffet i medfør af direktivet
|
|
2. Member States may provide for the simplification of or exemption from notification only in the following cases and under the following conditions:
|
- at føre et register over de behandlinger, der gennemføres af den registeransvarlige, og som omfatter de i artikel 21, stk. 2, omhandlede oplysninger
|
|
- where, for categories of processing operations which are unlikely, taking account of the data to be processed, to affect adversely the rights and freedoms of data subjects, they specify the purposes of the processing, the data or categories of data undergoing processing, the category or categories of data subject, the recipients or categories of recipient to whom the data are to be disclosed and the length of time the data are to be stored, and/or
|
for på denne måde at sikre, at det er ikke sandsynligt, at de registreredes rettigheder og frihedsrettigheder vil kunne krænkes som følge af behandlingen.
|
|
- where the controller, in compliance with the national law which governs him, appoints a personal data protection official, responsible in particular:
|
3. Medlemsstaterne kan fastsætte, at stk. 1 ikke finder anvendelse på behandlinger, hvis eneste formål er at føre et register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri.
|
|
- for ensuring in an independent manner the internal application of the national provisions taken pursuant to this Directive
|
4. Medlemsstaterne kan fritage de behandlinger, der er omhandlet i artikel 8, stk. 2, litra d), for anmeldelsespligt eller fastsætte en forenklet anmeldelse.
|
|
- for keeping the register of processing operations carried out by the controller, containing the items of information referred to in Article 21 (2),
|
5. Medlemsstaterne kan bestemme, at ikke-elektroniske behandlinger af personoplysninger eller nogle af disse behandlinger skal anmeldes, eller foreskrive forenklet anmeldelse af sådanne behandlinger.
|
|
thereby ensuring that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.
|
|
|
3. Member States may provide that paragraph 1 does not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person demonstrating a legitimate interest.
|
Artikel 19
|
|
4. Member States may provide for an exemption from the obligation to notify or a simplification of the notification in the case of processing operations referred to in Article 8 (2) (d).
|
Anmeldelsens indhold
|
|
5. Member States may stipulate that certain or all non-automatic processing operations involving personal data shall be notified, or provide for these processing operations to be subject to simplified notification.
|
1. Medlemsstaterne præciserer, hvilke oplysninger anmeldelsen skal indeholde. Anmeldelsen skal mindst indeholde følgende oplysninger:
|
|
|
a) navn og adresse på den registeransvarlige og dennes eventuelle repræsentant
|
|
Article 19
|
b) behandlingens formål
|
|
Contents of notification
|
c) en beskrivelse af kategorien eller kategorierne af registrerede og af de oplysninger eller typer af oplysninger, der vedrører dem
|
|
1. Member States shall specify the information to be given in the notification. It shall include at least:
|
d) de modtagere eller kategorier af modtagere, som oplysningerne kan videregives
|
|
(a) the name and address of the controller and of his representative, if any;
|
e) påtænkte overførsler af oplysninger til tredjelande
|
|
(b) the purpose or purposes of the processing;
|
f) en generel beskrivelse, der giver mulighed for foreløbigt at vurdere, om foranstaltningerne med henblik på behandlingssikkerheden i henhold til artikel 17 er passende.
|
|
(c) a description of the category or categories of data subject and of the data or categories of data relating to them;
|
2. Medlemsstaterne præciserer, efter hvilke procedurer ændringer i de i stk. 1 omhandlede oplysninger skal anmeldes til tilsynsmyndigheden.
|
|
(d) the recipients or categories of recipient to whom the data might be disclosed;
|
|
|
(e) proposed transfers of data to third countries;
|
Artikel 20
|
|
(f) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 17 to ensure security of processing.
|
Forudgående kontrol
|
|
2. Member States shall specify the procedures under which any change affecting the information referred to in paragraph 1 must be notified to the supervisory authority.
|
1. Medlemsstaterne præciserer, hvilke behandlinger der kan indebære særlige risici for personers rettigheder og frihedsrettigheder, og sikrer, at disse behandlinger kontrolleres, inden de iværksættes.
|
|
|
2. En sådan forudgående kontrol foretages af tilsynsmyndigheden efter modtagelsen af anmeldelsen fra den registeransvarlige, eller den foretages af den person, der har ansvar for databeskyttelse, som i tvivlstilfælde skal høre tilsynsmyndigheden.
|
|
Article 20
|
3. Medlemsstaterne kan også gennemføre en sådan kontrol som led i udarbejdelsen af en foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lov, som fastlægger karakteren af behandlingen og fastsætter de fornødne garantier.
|
|
Prior checking
|
|
|
1. Member States shall determine the processing operations likely to present specific risks to the rights and freedoms of data subjects and shall check that these processing operations are examined prior to the start thereof.
|
Artikel 21
|
|
2. Such prior checks shall be carried out by the supervisory authority following receipt of a notification from the controller or by the data protection official, who, in cases of doubt, must consult the supervisory authority.
|
Behandlingernes offentlige tilgængelighed
|
|
3. Member States may also carry out such checks in the context of preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which define the nature of the processing and lay down appropriate safeguards.
|
1. Medlemsstaterne træffer foranstaltninger til at sikre, at behandlingerne er offentligt tilgængelige.
|
|
|
2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden fører et register over de behandlinger, der er anmeldt i henhold til artikel 18.
|
|
Article 21
|
Registret omfatter mindst de oplysninger, der er anført i artikel 19, stk. 1, litra a) e).
|
|
Publicizing of processing operations
|
Registret er offentligt tilgængeligt.
|
|
1. Member States shall take measures to ensure that processing operations are publicized.
|
3. For så vidt angår behandlinger, som ikke er omfattet af anmeldelsespligt, fastsætter medlemsstaterne bestemmelser om, at de registeransvarlige eller enhver anden myndighed, som medlemsstaterne udpeger, på passende måde mindst skal stille de i artikel 19, stk. 1, litra a) e), omhandlede oplysninger til rådighed for enhver person, der anmoder herom.
|
|
2. Member States shall provide that a register of processing operations notified in accordance with Article 18 shall be kept by the supervisory authority.
|
Medlemsstaterne kan fastsætte, at denne bestemmelse ikke finder anvendelse på behandlinger, hvis eneste formål er at føre et register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri.
|
|
The register shall contain at least the information listed in Article 19 (1) (a) to (e).
|
|
|
The register may be inspected by any person.
|
KAPITEL III RETSMIDLER, ANSVAR OG SANKTIONER
|
|
3. Member States shall provide, in relation to processing operations not subject to notification, that controllers or another body appointed by the Member States make available at least the information referred to in Article 19 (1) (a) to (e) in an appropriate form to any person on request.
|
|
|
Member States may provide that this provision does not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can provide proof of a legitimate interest.
|
Artikel 22
|
|
|
Klageadgang
|
|
CHAPTER III JUDICIAL REMEDIES, LIABILITY AND SANCTIONS
|
Uden at foregribe muligheden for at iværksætte administrativ klage, herunder for den tilsynsmyndighed, der er nævnt i artikel 28, inden forelæggelse for retsinstanser, fastsætter medlemsstaterne bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den pågældende behandling.
|
|
|
|
|
Article 22
|
Artikel 23
|
|
Remedies
|
Ansvar
|
|
Without prejudice to any administrative remedy for which provision may be made, inter alia before the supervisory authority referred to in Article 28, prior to referral to the judicial authority, Member States shall provide for the right of every person to a judicial remedy for any breach of the rights guaranteed him by the national law applicable to the processing in question.
|
1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige.
|
|
|
2. Den registeransvarlige kan helt eller delvis fritages for erstatningsansvar for skade, hvis han beviser, at han ikke er skyld i den begivenhed, der medførte skaden.
|
|
Article 23
|
|
|
Liability
|
Artikel 24
|
|
1. Member States shall provide that any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Directive is entitled to receive compensation from the controller for the damage suffered.
|
Sanktioner
|
|
2. The controller may be exempted from this liability, in whole or in part, if he proves that he is not responsible for the event giving rise to the damage.
|
Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang, og de fastsætter bl.a. de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til dette direktivs gennemførelse.
|
|
|
|
|
Article 24
|
KAPITEL IV VIDEREGIVELSE AF PERSONOPLYSNINGER TIL TREDJELANDE
|
|
Sanctions
|
|
|
The Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Directive and shall in particular lay down the sanctions to be imposed in case of infringement of the provisions adopted pursuant to this Directive.
|
Artikel 25
|
|
|
Principper
|
|
CHAPTER IV TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES
|
1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.
|
|
|
2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler - almindelige regler eller sektorregler - der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet.
|
|
Article 25
|
3. Medlemsstaterne og Kommissionen underretter gensidigt hinanden, hvis de mener, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2.
|
|
Principles
|
4. Konstaterer Kommissionen efter proceduren i artikel 31, stk. 2, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at hindre enhver videregivelse af oplysninger af samme art til det pågældende tredjeland.
|
|
1. The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection.
|
5. Kommissionen indleder på det rette tidspunkt forhandlinger med henblik på at afhjælpe den situation, der opstår som følge af en konstatering efter stk. 4.
|
|
2. The adequacy of the level of protection afforded by a third country shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the country of origin and country of final destination, the rules of law, both general and sectoral, in force in the third country in question and the professional rules and security measures which are complied with in that country.
|
6. Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger.
|
|
3. The Member States and the Commission shall inform each other of cases where they consider that a third country does not ensure an adequate level of protection within the meaning of paragraph 2.
|
Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.
|
|
4. Where the Commission finds, under the procedure provided for in Article 31 (2), that a third country does not ensure an adequate level of protection within the meaning of paragraph 2 of this Article, Member States shall take the measures necessary to prevent any transfer of data of the same type to the third country in question.
|
|
|
5. At the appropriate time, the Commission shall enter into negotiations with a view to remedying the situation resulting from the finding made pursuant to paragraph 4.
|
Artikel 26
|
|
6. The Commission may find, in accordance with the procedure referred to in Article 31 (2), that a third country ensures an adequate level of protection within the meaning of paragraph 2 of this Article, by reason of its domestic law or of the international commitments it has entered into, particularly upon conclusion of the negotiations referred to in paragraph 5, for the protection of the private lives and basic freedoms and rights of individuals.
|
Undtagelser
|
|
Member States shall take the measures necessary to comply with the Commission's decision.
|
1. Som undtagelse fra bestemmelserne i artikel 25, fastsætter medlemsstaterne, medmindre andet er bestemt i deres nationale lovgivning, at videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, kan finde sted, hvis
|
|
|
a) der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller
|
|
Article 26
|
b) videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan kontrakt, eller
|
|
Derogations
|
c) videregivelsen er nødvendig af hensyn til indgåelsen eller udførelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og tredjemand, eller
|
|
1. By way of derogation from Article 25 and save where otherwise provided by domestic law governing particular cases, Member States shall provide that a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2) may take place on condition that:
|
d) videregivelsen er nødvendig eller følger af lov eller bestemmelser fastsat med hjemmel i lov for at beskytte en vigtig samfundsinteresse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller
|
|
(a) the data subject has given his consent unambiguously to the proposed transfer; or
|
e) videregivelsen er nødvendig for at beskytte den registreredes vitale interesser, eller
|
|
(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of precontractual measures taken in response to the data subject's request; or
|
f) videregivelsen finder sted fra et offentligt register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde.
|
|
(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and a third party; or
|
2. Med forbehold af stk. 1, kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser.
|
|
(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or
|
3. Den pågældende medlemsstat underretter Kommissionen og de øvrige medlemsstater om de tilladelser, den giver i henhold til stk. 2.
|
|
(e) the transfer is necessary in order to protect the vital interests of the data subject; or
|
Rejses der indsigelse herimod fra en anden medlemsstat eller Kommissionen, og er denne berettiget ud fra hensynet til beskyttelse af privatlivets fred eller personers grundlæggende rettigheder og frihedsrettigheder, vedtager Kommissionen passende foranstaltninger efter proceduren i artikel 31, stk. 2.
|
|
(f) the transfer is made from a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in law for consultation are fulfilled in the particular case.
|
Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.
|
|
2. Without prejudice to paragraph 1, a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.
|
4. Fastslår Kommissionen efter proceduren i artikel 31, stk. 2, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier i henhold til stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.
|
|
3. The Member State shall inform the Commission and the other Member States of the authorizations it grants pursuant to paragraph 2.
|
|
|
If a Member State or the Commission objects on justified grounds involving the protection of the privacy and fundamental rights and freedoms of individuals, the Commission shall take appropriate measures in accordance with the procedure laid down in Article 31 (2).
|
KAPITEL V ADFÆRDSKODEKSER
|
|
Member States shall take the necessary measures to comply with the Commission's decision.
|
|
|
4. Where the Commission decides, in accordance with the procedure referred to in Article 31 (2), that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2, Member States shall take the necessary measures to comply with the Commission's decision.
|
Artikel 27
|
|
|
1. Medlemsstaterne og Kommissionen tilskynder til udarbejdelsen af adfærdskodekser, der afhængigt af de særlige forhold i de forskellige sektorer skal bidrage til en korrekt anvendelse af de nationale bestemmelser, medlemsstaterne vedtager til gennemførelse af dette direktiv.
|
|
CHAPTER V CODES OF CONDUCT
|
2. Medlemsstaterne fastsætter bestemmelser om, at de brancheforeninger eller andre organer, som repræsenterer andre kategorier af registeransvarlige, som har udarbejdet udkast til nationale adfærdskodekser, eller som agter at ændre eller forlænge gældende nationale kodekser, skal kunne forelægge dem for den nationale myndighed til udtalelse.
|
|
|
Medlemsstaterne fastsætter bestemmelser om, at denne myndighed bl.a. skal kontrollere, at de udkast, den får forelagt, er i overensstemmelse med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv. Hvis myndigheden finder det hensigtsmæssigt, kan den indhente bemærkninger fra de registrerede eller disses repræsentanter.
|
|
Article 27
|
3. Udkast til EF-kodeks og forslag til ændring eller forlængelse af eksisterende EF-kodekser kan forelægges den i artikel 29 omhandlede gruppe. Denne udtaler sig bl.a. om, hvorvidt de udkast, den har fået forelagt, er i overensstemmelse med de nationale bestemmelser til gennemførelse af dette direktiv. Hvis den finder det nødvendigt, indhenter den bemærkninger fra de registrerede eller disses repræsentanter. Kommissionen kan tilse, at de kodekser, som gruppen har godkendt, offentliggøres på passende vis.
|
|
1. The Member States and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper implementation of the national provisions adopted by the Member States pursuant to this Directive, taking account of the specific features of the various sectors.
|
|
|
2. Member States shall make provision for trade associations and other bodies representing other categories of controllers which have drawn up draft national codes or which have the intention of amending or extending existing national codes to be able to submit them to the opinion of the national authority.
|
KAPITEL VI TILSYNSMYNDIGHED SAMT GRUPPE TIL BESKYTTELSE AF PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER
|
|
Member States shall make provision for this authority to ascertain, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives.
|
|
|
3. Draft Community codes, and amendments or extensions to existing Community codes, may be submitted to the Working Party referred to in Article 29. This Working Party shall determine, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives. The Commission may ensure appropriate publicity for the codes which have been approved by the Working Party.
|
Artikel 28
|
|
|
Tilsynsmyndighed
|
|
CHAPTER VI SUPERVISORY AUTHORITY AND WORKING PARTY ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA
|
1. Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.
|
|
|
Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem.
|
|
Article 28
|
2. Hver medlemsstat drager omsorg for, at tilsynsmyndighederne høres ved udarbejdelsen af administrative foranstaltninger eller retsforskrifter om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger.
|
|
Supervisory authority
|
3. Hver tilsynsmyndighed skal bl.a. kunne:
|
|
1. Each Member State shall provide that one or more public authorities are responsible for monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Directive.
|
- iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver
|
|
These authorities shall act with complete independence in exercising the functions entrusted to them.
|
- gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner
|
|
2. Each Member State shall provide that the supervisory authorities are consulted when drawing up administrative measures or regulations relating to the protection of individuals' rights and freedoms with regard to the processing of personal data.
|
- indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.
|
|
3. Each authority shall in particular be endowed with:
|
Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.
|
|
- investigative powers, such as powers of access to data forming the subject-matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties,
|
4. Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den pågældende underrettes om, hvorledes sagen følges op.
|
|
- effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, in accordance with Article 20, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions,
|
Enhver kan til tilsynsmyndigheden især indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i dette direktiv, finder anvendelse. Den pågældende underrettes i alle tilfælde om, at der er blevet foretaget en kontrol.
|
|
- the power to engage in legal proceedings where the national provisions adopted pursuant to this Directive have been violated or to bring these violations to the attention of the judicial authorities.
|
5. Hver tilsynsmyndighed udarbejder med regelmæssige mellemrum en rapport om sin virksomhed. Denne rapport offentliggøres.
|
|
Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.
|
6. Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.
|
|
4. Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.
|
Tilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle nyttige oplysninger.
|
|
Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.
|
7. Medlemsstaterne fastsætter bestemmelser i deres lovgivning om, at tilsynsmyndighedernes medlemmer og ansatte også efter deres aktiviteters ophør har tavshedspligt for så vidt angår de fortrolige oplysninger, de har adgang til.
|
|
5. Each supervisory authority shall draw up a report on its activities at regular intervals. The report shall be made public.
|
|
|
6. Each supervisory authority is competent, whatever the national law applicable to the processing in question, to exercise, on the territory of its own Member State, the powers conferred on it in accordance with paragraph 3. Each authority may be requested to exercise its powers by an authority of another Member State.
|
Artikel 29
|
|
The supervisory authorities shall cooperate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.
|
Gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger
|
|
7. Member States shall provide that the members and staff of the supervisory authority, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.
|
1. Der nedsættes en gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, i det følgende benævnt »gruppen«.
|
|
|
Denne gruppe er rådgivende og uafhængig.
|
|
Article 29
|
2. Gruppen består af en repræsentant for den eller de tilsynsmyndigheder, hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen.
|
|
Working Party on the Protection of Individuals with regard to the Processing of Personal Data
|
Hvert medlem af gruppen udpeges af den institution eller den eller de myndigheder, det repræsenterer. Når en medlemsstat har udpeget flere tilsynsmyndigheder, udnævner disse en fælles repræsentant. Det samme gælder de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne.
|
|
1. A Working Party on the Protection of Individuals with regard to the Processing of Personal Data, hereinafter referred to as 'the Working Party', is hereby set up.
|
3. Gruppen træffer sine afgørelser med simpelt flertal blandt repræsentanterne for tilsynsmyndighederne.
|
|
It shall have advisory status and act independently.
|
4. Gruppen vælger selv sin formand. Formandens mandat gælder for en periode af to år. Mandatet kan fornyes.
|
|
2. The Working Party shall be composed of a representative of the supervisory authority or authorities designated by each Member State and of a representative of the authority or authorities established for the Community institutions and bodies, and of a representative of the Commission.
|
5. Gruppens sekretariatsopgaver varetages af Kommissionen.
|
|
Each member of the Working Party shall be designated by the institution, authority or authorities which he represents. Where a Member State has designated more than one supervisory authority, they shall nominate a joint representative. The same shall apply to the authorities established for Community institutions and bodies.
|
6. Gruppen fastsætter selv sin forretningsorden.
|
|
3. The Working Party shall take decisions by a simple majority of the representatives of the supervisory authorities.
|
7. Gruppen behandler de spørgsmål, der sættes på dagsordenen af dens formand, enten på dennes initiativ, efter anmodning fra en repræsentant for tilsynsmyndighederne eller efter anmodning fra Kommissionen.
|
|
4. The Working Party shall elect its chairman. The chairman's term of office shall be two years. His appointment shall be renewable.
|
|
|
5. The Working Party's secretariat shall be provided by the Commission.
|
Artikel 30
|
|
6. The Working Party shall adopt its own rules of procedure.
|
1. Gruppen har til opgave:
|
|
7. The Working Party shall consider items placed on its agenda by its chairman, either on his own initiative or at the request of a representative of the supervisory authorities or at the Commission's request.
|
a) at undersøge ethvert spørgsmål vedrørende anvendelse af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, med henblik på at bidrage til en ensartet anvendelse heraf
|
|
|
b) at give Kommissionen en udtalelse om beskyttelsesniveauet i Fællesskabet og i tredjelande
|
|
Article 30
|
c) at rådgive Kommissionen om ethvert udkast til ændring af dette direktiv og om, hvilke supplerende eller specifikke foranstaltninger der bør træffes for at sikre fysiske personers rettigheder og frihedsrettigheder for så vidt angår behandling af personoplysninger, samt om ethvert andet udkast til fællesskabsforanstaltninger, der har indvirkning på sådanne rettigheder og frihedsrettigheder
|
|
1. The Working Party shall:
|
d) at afgive udtalelse om de adfærdskodekser, der udarbejdes på fællesskabsplan.
|
|
(a) examine any question covering the application of the national measures adopted under this Directive in order to contribute to the uniform application of such measures;
|
2. Konstaterer gruppen forskelle mellem medlemsstaternes lovgivning eller praksis, der kan være til fare for en ensartet beskyttelse af personer i forbindelse med behandling af personoplysninger inden for Fællesskabet, underretter den Kommissionen herom.
|
|
(b) give the Commission an opinion on the level of protection in the Community and in third countries;
|
3. Gruppen kan på eget initiativ fremsætte henstillinger om ethvert spørgsmål vedrørende beskyttelsen af personer i forbindelse med behandling af personoplysninger inden for Fællesskabet.
|
|
(c) advise the Commission on any proposed amendment of this Directive, on any additional or specific measures to safeguard the rights and freedoms of natural persons with regard to the processing of personal data and on any other proposed Community measures affecting such rights and freedoms;
|
4. Gruppens udtalelser og henstillinger forelægges for Kommissionen og for det i artikel 31 omhandlede udvalg.
|
|
(d) give an opinion on codes of conduct drawn up at Community level.
|
5. Kommissionen underretter gruppen om, hvorledes den har taget hensyn til dens udtalelser og henstillinger. Kommissionen udarbejder med henblik herpå en beretning, som også forelægges for Europa-Parlamentet og Rådet. Denne beretning offentliggøres.
|
|
2. If the Working Party finds that divergences likely to affect the equivalence of protection for persons with regard to the processing of personal data in the Community are arising between the laws or practices of Member States, it shall inform the Commission accordingly.
|
6. Gruppen udarbejder en årsberetning om situationen vedrørende beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger inden for Fællesskabet og i tredjelande; den forelægger beretningen for Europa-Parlamentet, Rådet og Kommissionen. Beretningen offentliggøres.
|
|
3. The Working Party may, on its own initiative, make recommendations on all matters relating to the protection of persons with regard to the processing of personal data in the Community.
|
|
|
4. The Working Party's opinions and recommendations shall be forwarded to the Commission and to the committee referred to in Article 31.
|
KAPITEL VII EF-GENNEMFØRELSESFORANSTALTNINGER
|
|
5. The Commission shall inform the Working Party of the action it has taken in response to its opinions and recommendations. It shall do so in a report which shall also be forwarded to the European Parliament and the Council. The report shall be made public.
|
|
|
6. The Working Party shall draw up an annual report on the situation regarding the protection of natural persons with regard to the processing of personal data in the Community and in third countries, which it shall transmit to the Commission, the European Parliament and the Council. The report shall be made public.
|
Artikel 31
|
|
|
Udvalget
|
|
CHAPTER VII COMMUNITY IMPLEMENTING MEASURES
|
1. Kommissionen bistås af et udvalg, der består af repræsentanter for medlemsstaternes regeringer, og som har Kommissionens repræsentant som formand.
|
|
|
2. Kommissionens repræsentant forelægger udvalget et udkast til de foranstaltninger, der skal træffes. Udvalget afgiver en udtalelse om dette udkast inden for en frist, som formanden kan fastsætte under hensyn til, hvor meget det pågældende spørgsmål haster.
|
|
Article 31
|
Udtalelsen afgives med det flertal, som er fastsat i traktatens artikel 148, stk. 2. Ved afstemninger i udvalget tildeles medlemsstaternes stemmer den vægt, som er fastsat i nævnte artikel. Formanden deltager ikke i afstemningen.
|
|
The Committee
|
Kommissionen vedtager foranstaltninger, der straks finder anvendelse. Hvis de ikke er i overensstemmelse med den afgivne udtalelse, underrettes Rådet dog straks af Kommissionen om disse foranstaltninger. I så fald gælder følgende:
|
|
1. The Commission shall be assisted by a committee composed of the representatives of the Member States and chaired by the representative of the Commission.
|
- Kommissionen udsætter gennemførelsen af de foranstaltninger, den har truffet afgørelse om, i et tidsrum på tre måneder regnet fra datoen for underretningen
|
|
2. The representative of the Commission shall submit to the committee a draft of the measures to be taken. The committee shall deliver its opinion on the draft within a time limit which the chairman may lay down according to the urgency of the matter.
|
- Rådet kan med kvalificeret flertal træffe en anden afgørelse inden for det tidsrum, der er nævnt i ovenstående led.
|
|
The opinion shall be delivered by the majority laid down in Article 148 (2) of the Treaty. The votes of the representatives of the Member States within the committee shall be weighted in the manner set out in that Article. The chairman shall not vote.
|
|
|
The Commission shall adopt measures which shall apply immediately. However, if these measures are not in accordance with the opinion of the committee, they shall be communicated by the Commission to the Council forthwith. It that event:
|
AFSLUTTENDE BESTEMMELSER
|
|
- the Commission shall defer application of the measures which it has decided for a period of three months from the date of communication,
|
|
|
- the Council, acting by a qualified majority, may take a different decision within the time limit referred to in the first indent.
|
Artikel 32
|
|
|
1. Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest tre år efter dets vedtagelse.
|
|
FINAL PROVISIONS
|
Når medlemsstaterne vedtager disse love og administrative bestemmelser, skal de indeholde en henvisning til dette direktiv, eller de skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for denne henvisning fastsættes af medlemsstaterne.
|
|
|
2. Medlemsstaterne påser, at behandlinger, der allerede er iværksat på ikrafttrædelsesdatoen for de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, bringes i overensstemmelse med disse bestemmelser senest tre år efter denne dato. Som en undtagelse fra foregående afsnit kan medlemsstaterne fastsætte, at behandlingen af oplysninger, som allerede findes i manuelle registre, der føres på ikrafttrædelsesdatoen for de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, senest tolv år efter vedtagelsen af direktivet skal bringes i overensstemmelse med direktivets artikel 6, 7 og 8. Medlemsstaterne indrømmer dog den registrerede ret til efter anmodning og navnlig i forbindelse med udøvelse af retten til indsigt at få berigtiget, slettet eller blokeret oplysninger, der er ufuldstændige eller urigtige, eller som opbevares på en måde, der er uforenelig med de legitime formål, som den registeransvarlige forfølger.
|
|
Article 32
|
3. Som en undtagelse fra stk. 2 kan medlemsstaterne, hvis der gives passende garantier, fastsætte, at oplysninger, der kun opbevares med henblik på historisk forskning, ikke skal bringes i overensstemmelse med artikel 6, 7 og 8 i dette direktiv.
|
|
1. Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive at the latest at the end of a period of three years from the date of its adoption.
|
4. Medlemsstaterne meddeler Kommissionen teksten til de nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.
|
|
When Member States adopt these measures, they shall contain a reference to this Directive or be accompanied by such reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States.
|
|
|
2. Member States shall ensure that processing already under way on the date the national provisions adopted pursuant to this Directive enter into force, is brought into conformity with these provisions within three years of this date.
|
Artikel 33
|
|
By way of derogation from the preceding subparagraph, Member States may provide that the processing of data already held in manual filing systems on the date of entry into force of the national provisions adopted in implementation of this Directive shall be brought into conformity with Articles 6, 7 and 8 of this Directive within 12 years of the date on which it is adopted. Member States shall, however, grant the data subject the right to obtain, at his request and in particular at the time of exercising his right of access, the rectification, erasure or blocking of data which are incomplete, inaccurate or stored in a way incompatible with the legitimate purposes pursued by the controller.
|
Kommissionen forelægger med jævne mellemrum, første gang senest tre år efter det i artikel 32, stk. 1, nævnte tidspunkt, Europa-Parlamentet og Rådet en beretning om anvendelsen af dette direktiv, eventuelt ledsaget af passende ændringsforslag. Beretningen offentliggøres.
|
|
3. By way of derogation from paragraph 2, Member States may provide, subject to suitable safeguards, that data kept for the sole purpose of historical research need not be brought into conformity with Articles 6, 7 and 8 of this Directive.
|
Kommissionen undersøger navnlig direktivets anvendelse på behandling af lyd og billeddata om fysiske personer og forelægger passende forslag, der måtte være nødvendige i betragtning af udviklingen inden for informationsteknologien og informationssamfundet.
|
|
4. Member States shall communicate to the Commission the text of the provisions of domestic law which they adopt in the field covered by this Directive.
|
|
|
|
Artikel 34
|
|
Article 33
|
Dette direktiv er rettet til medlemsstaterne.
|
|
The Commission shall report to the Council and the European Parliament at regular intervals, starting not later than three years after the date referred to in Article 32 (1), on the implementation of this Directive, attaching to its report, if necessary, suitable proposals for amendments. The report shall be made public.
|
|
|
The Commission shall examine, in particular, the application of this Directive to the data processing of sound and image data relating to natural persons and shall submit any appropriate proposals which prove to be necessary, taking account of developments in information technology and in the light of the state of progress in the information society.
|
Udfærdiget i Luxembourg, den 24. oktober 1995.
|
|
|
For Europa-Parlamentet
|
|
Article 34
|
K. HÄNSCH
|
|
This Directive is addressed to the Member States.
|
Formand
|
|
|
For Rådet
|
|
Done at Luxembourg, 24 October 1995.
|
L. ATIENZA SERNA
|
|
For the European Parliament
|
Formand
|
|
The President
|
|
|
K. HAENSCH
|
(1) EFT nr. C 277 af 5. 11. 1990, s. 3, og EFT nr. C 311 af 27. 11. 1992, s. 30.
|
|
For the Council
|
(2) EFT nr. C 159 af 17. 6. 1991, s. 38.
|
|
The President
|
(3) Europa-Parlamentets udtalelse af 11. 3. 1992 (EFT nr. C 94 af 13. 4. 1992, s. 198), bekræftet den 2. december 1993 (EFT nr. C 342 af 20. 12. 1993, s. 30);Rådets fælles holdning af 20. 2. 1995 (EFT nr. C 93 af 13. 4. 1995, s. 1) og Europa-Parlamentets afgørelse af 15. 6. 1995 (EFT nr. C 166 af 3. 7. 1995).
|
|
L. ATIENZA SERNA
|
(4) EFT nr. L 197 af 18. 7. 1987, s. 33.
|
|
|
|
|
(1) OJ No C 277, 5. 11. 1990, p. 3 and OJ No C 311, 27. 11. 1992, p. 30.
|
|
|
(2) OJ No C 159, 17. 6. 1991, p 38.
|
|
|
(3) Opinion of the European Parliament of 11 March 1992 (OJ No C 94, 13. 4. 1992, p. 198), confirmed on 2 December 1993 (OJ No C 342, 20. 12. 1993, p. 30); Council common position of 20 February 1995 (OJ No C 93, 13. 4. 1995, p. 1) and Decision of the European Parliament of 15 June 1995 (OJ No C 166, 3. 7. 1995).
|
|
|
(1) OJ No L 197, 18. 7. 1987, p. 33.
|
|
|
|
|
|
|
|