EUROPA-KOMMISSIONEN

Bruxelles, den 10.1.2017

COM(2017) 8 final

2017/0002(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF

BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

•Forslagets begrundelse og formål

I artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF), som blev indført ved Lissabontraktaten, fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv. Endvidere indførte Lissabontraktaten i artikel 16, stk. 2, i TEUF et specifikt retsgrundlag for vedtagelsen af regler om beskyttelse af personoplysninger. I artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder fastslås det, at beskyttelse af personoplysninger er en grundlæggende rettighed.

Retten til beskyttelse af personoplysninger omfatter også behandling af personoplysninger i EU's institutioner, organer, kontorer og agenturer. Forordning (EF) nr. 45/2001 1 , der er det vigtigste stykke eksisterende EU-lovgivning om beskyttelse af personoplysninger i Unionens institutioner, blev vedtaget i 2001 med to mål for øje, nemlig at beskytte den grundlæggende ret til databeskyttelse og sikre fri udveksling af personoplysninger i Unionen. Den blev suppleret af afgørelse nr. 1247/2002/EF 2 .

Den 27. april 2016 vedtog Europa-Parlamentet og Rådet den generelle forordning om databeskyttelse (forordning (EU) 2016/679), der anvendes fra den 25. maj 2018. Ifølge denne forordning skal forordning (EF) nr. 45/2001 tilpasses til de principper og bestemmelser, der er fastsat i forordning (EU) 2016/679, med henblik på at sikre en stærk og sammenhængende databeskyttelsesramme i Unionen, således at begge retsakter finder anvendelse samtidig 3 .

Det er foreneligt med den sammenhængende tilgang til beskyttelse af personoplysninger i hele Unionen for så vidt muligt at tilpasse databeskyttelsesreglerne for Unionens institutioner, organer, kontorer og agenturer til de databeskyttelsesregler, der er vedtaget for medlemsstaterne. Når bestemmelserne i forslaget bygger på det samme koncept som bestemmelserne i forordning (EU) 2016/679, bør disse to bestemmelser fortolkes ensartet, navnlig fordi ordningen i forslaget skal betragtes som en pendant til ordningen i forordning (EU) 2016/679 4 .

Revisionen af forordning (EF) nr. 45/2001 tager også hensyn til resultaterne af undersøgelser og høringer af interessenter og af evalueringsundersøgelsen af dens anvendelse de sidste 15 år.

•Sammenhæng med de gældende regler på samme område

•Sammenhæng med Unionens politik på andre områder

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

•Retsgrundlag

•Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)

Emnet for denne forordning henhører under Unionens enekompetence, da kun Unionen kan vedtage regler for behandlingen af personoplysninger i dens institutioner.

•Proportionalitetsprincippet

•Valg af retsakt

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSENTER OG KONSEKVENSANALYSER

Kommissionen gennemførte høringer af interessenter i 2010 og 2011 og en konsekvensanalyse i forbindelse med forberedelsen af databeskyttelsesreformpakken, hvori der orienteres om de foreslåede ændringer til forordning (EF) nr. 45/2001. I den forbindelse gennemførte Kommissionen også en undersøgelse af Kommissionens databeskyttelseskoordinatorer 5 .

Kommissionen besluttede i 2013 at foretage en evalueringsundersøgelse af den hidtidige anvendelse af forordning (EF) nr. 45/2001, som den outsourcede til en ekstern konsulent. De endelige konklusioner af evalueringen (endelig rapport, fem casestudier og analyse af hver enkelt artikel) blev fremsendt til Kommissionen den 8. juni 2015 7 .

Evalueringen viste, at det forvaltningssystem, der er struktureret omkring databeskyttelsesrådgiverne, er effektivt. Det blev konstateret, at fordelingen af beføjelser mellem databeskyttelsesrådgiverne og EDPS er klar og afbalanceret, og at begge har en række relevante beføjelser. Den manglende myndighed på grund af utilstrækkelig støtte til databeskyttelsesrådgiverne fra deres ledelse kunne dog skabe problemer.

Det fremgår af evalueringsundersøgelsen, at forordning (EF) nr. 45/2001 kunne håndhæves bedre, hvis EDPS gjorde brug af sanktioner. Øget brug af tilsynsbeføjelser kunne føre til bedre gennemførelse af databeskyttelsesreglerne. En anden konklusion var, at de dataansvarlige burde vedtage en risikostyringsstrategi og udføre risikovurderinger inden udførelsen af behandlingsaktiviteter med henblik på bedre at gennemføre datalagrings- og sikkerhedskravene.

Undersøgelsen viste også, at de eksisterende bestemmelser i kapitel IV i forordning (EF) nr. 45/2001 om telesektoren er forældede, og at der er behov for at tilpasse dette kapitel til e-databeskyttelsesdirektivet. Ifølge evalueringsundersøgelsen er der også behov for at præcisere nogle vigtige definitioner i forordning (EF) nr. 45/2001. Disse omfatter identifikationen af dataansvarlige i Unionens institutioner, organer, kontorer og agenturer, definitionen af modtagere og udvidelsen af fortrolighedspligten til også at omfatte eksterne databehandlere.

Evalueringsundersøgelsen pegede også på behovet for at forenkle ordningen med anmeldelser og forudgående kontrol for at øge effektiviteten og mindske den administrative byrde.

Evalueringseksperten udførte en onlineundersøgelse i 64 af Unionens institutioner, agenturer, kontorer og organer. 422 ansvarlige medarbejdere hos de dataansvarlige, 73 databeskyttelsesrådgivere, 118 databeskyttelseskoordinatorer og 109 IT-respondenter besvarede spørgsmålene i forbindelse med undersøgelsen. Evalueringseksperten udførte også en række interview med interessenter. Den 26. marts 2015 holdt evalueringseksperten og Kommissionen en endelig workshop med deltagelse af en række dataansvarlige, databeskyttelsesrådgivere, databeskyttelseskoordinatorer, IT-respondenter og repræsentanter for EDPS. 

•Indhentning og brug af ekspertbistand

•Konsekvensanalyse

Dette forslag vil især få betydning for Unionens institutioner, organer, kontorer og agenturer. Dette er blevet bekræftet af de oplysninger, der er indhentet fra EDPS, andre af Unionens institutioner, organer, kontorer og agenturer, generaldirektorater i Kommissionen og den eksterne konsulent. Endvidere er virkningen af de nye forpligtelser, der følger af forordning (EU) 2016/679, som nærværende forordning skal tilpasses til, blevet vurderet i forbindelse med det forberedende arbejde hermed. Dette gør en specifik konsekvensanalyse af nærværende forordning unødvendig.

•Målrettet regulering og forenkling

Ikke relevant

•Grundlæggende rettigheder

Retten til beskyttelse af personoplysninger er fastsat i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder ("chartret"), artikel 16 i TEUF og artikel 8 i den europæiske menneskerettighedskonvention. Som understreget af Den Europæiske Unions Domstol 8 er retten til beskyttelse af personoplysninger ikke en absolut ret, men skal ses i forhold til dens funktion i samfundet 9 . Databeskyttelse hænger også tæt sammen med respekten for privatliv og familieliv som omhandlet i chartrets artikel 7.

I dette forslag fastlægges regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og fri udveksling af sådanne oplysninger.

Andre grundlæggende rettigheder, der er forankret i chartret, og som kunne blive berørt, er ytringsfriheden (artikel 11), ejendomsretten og navnlig beskyttelsen af intellektuel ejendomsret (artikel 17, stk. 2), forbud mod enhver forskelsbehandling på grund af race, etnisk oprindelse, genetiske anlæg, religion eller tro, politiske eller andre anskuelser, handicap eller seksuel orientering (artikel 21), børns rettigheder (artikel 24), retten til et højt sundhedsbeskyttelsesniveau (artikel 35), retten til aktindsigt (artikel 42) og adgangen til effektive retsmidler og til en upartisk domstol (artikel 47).

4.VIRKNINGER FOR BUDGETTET

5.ANDRE FORHOLD

•Planer for gennemførelse og foranstaltninger til overvågning, evaluering og rapportering

Ikke relevant

•Forklarende dokumenter (for direktiver)

Ikke relevant

KAPITEL I – GENERELLE BESTEMMELSER

Artikel 1 fastsætter genstanden for forordningen og – som i artikel 1 i forordning (EF) nr. 45/2001– tillige forordningens to målsætninger, nemlig beskyttelsen af den grundlæggende ret til databeskyttelse og sikring af fri udveksling af personoplysninger i Unionen. Den fastsætter også de vigtigste opgaver for Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 2 fastsætter forordningens anvendelsesområde. Den finder anvendelse på automatisk eller anden form for behandling af personoplysninger, som finder sted i alle Unionens institutioner og organer, i det omfang denne behandling er iværksat som led i udøvelsen af aktiviteter, der helt eller delvis hører under EU-rettens anvendelsesområde. Denne forordnings materielle anvendelsesområde er teknologisk neutralt. Beskyttelsen af personoplysninger gælder for både automatisk og manuel behandling af personoplysninger, hvis disse oplysningerne er indeholdt eller vil blive indeholdt i et register.

Artikel 3 indeholder definitioner af de udtryk, der anvendes i forordningen. Ud over definitionerne af "Unionens institutioner og organer", "dataansvarlig", "bruger" og "register", der er specifikke for denne forordning, er de udtryk, der anvendes i denne forordning, defineret i forordning (EU) 2016/679, forordning (EU) 0000/00 [ny e-databeskyttelsesforordning], direktiv 00/0000/EU [direktivet om en europæisk kodeks for elektronisk kommunikation] og Kommissionens direktiv 2008/63/EF.

KAPITEL II – PRINCIPPER

Artikel 4 fastlægger principperne for behandling af personoplysninger, der svarer til principperne i artikel 5 i forordning (EU) 2016/679. Sammenlignet med forordning (EF) nr. 45/2001 tilføjes de nye principper om gennemsigtighed og integritet og fortrolighed.

Artikel 5 bygger på artikel 6 i forordning (EU) 2016/679 og fastsætter kriterierne for lovlig behandling, hvor kriteriet den dataansvarliges legitime interesse er den eneste undtagelse, da det ikke er relevant for den offentlige sektor og derfor ikke bør gælde for Unionens institutioner og organer. Artikel 5 viderefører de kriterier, der allerede er fastsat i artikel 5 i forordning (EF) nr. 45/2001.

Artikel 6 præciserer betingelserne for behandling til et andet foreneligt formål i overensstemmelse med artikel 6, stk. 4, i forordning (EU) 2016/679. Sammenlignet med artikel 6 i forordning (EF) nr. 45/2001 giver denne nye bestemmelse større fleksibilitet og retlig sikkerhed med hensyn viderebehandling til forenelige formål.

I overensstemmelse med artikel 7 i forordning (EU) 2016/679 præciserer artikel 7 betingelserne for, at et samtykke kan anvendes som juridisk begrundelse for lovlig behandling.

I overensstemmelse med artikel 8 i forordning (EU) 2016/679 fastsætter artikel 8 nærmere betingelser for lovligheden af behandling af personoplysninger om børn i forbindelse med informationssamfundstjenester, som tilbydes dem direkte. Den fastsætter barnets mindstealder til 13 år for gyldigt samtykke.

I overensstemmelse med artikel 8 i forordning (EF) nr. 45/2001 fastsætter artikel 9 regler om et specifikt beskyttelsesniveau for fremsendelse af personoplysninger til andre modtagere end Unionens institutioner og organer, der er etableret i Unionen og er underlagt forordning (EU) 2016/679 eller direktiv (EU) 2016/680. Den præciserer, at såfremt det er den dataansvarlige, der indleder fremsendelsen, bør vedkommende godtgøre fremsendelsens nødvendighed og proportionalitet.

Artikel 10 fastsætter det generelle forbud mod behandling af særlige kategorier af personoplysninger og undtagelserne fra denne generelle regel baseret på artikel 9 i forordning (EU) 2016/679 og en videreudvikling af artikel 10 i forordning (EF) nr. 45/2001.

I overensstemmelse med artikel 10 i forordning (EU) 2016/679 og artikel 10, stk. 5, i forordning (EF) nr. 45/2001 fastsætter artikel 11 betingelserne for behandling af personoplysninger vedrørende straffedomme og lovovertrædelser.

Artikel 12 præciserer den dataansvarliges underretningspligt over for den registrerede i overensstemmelse med artikel 11 i forordning (EU) 2016/679, idet den bestemmer, at hvis de personoplysninger, der behandles af en dataansvarlig, ikke sætter den dataansvarlige i stand til at identificere en fysisk person, bør den dataansvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. Den dataansvarlige bør dog ikke nægte at tage imod yderligere oplysninger fra den registrerede, som denne giver med henblik på udøvelsen af sine rettigheder.

Artikel 13 fastsætter på grundlag af artikel 89, stk. 1, i forordning (EU) 2016/679 regler for garantier vedrørende behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål.

KAPITEL III – DEN REGISTREREDES RETTIGHEDER

Afdeling 1 – Gennemsigtighed og nærmere regler

Artikel 14 indfører på grundlag af artikel 12 i forordning (EU) 2016/679 en forpligtelse for de dataansvarlige til at tilvejebringe gennemsigtige, lettilgængelige og forståelige oplysninger og fastlægge procedurer og mekanismer for udøvelse af den registreredes rettigheder, herunder eventuelt systemer til elektroniske anmodninger, idet den registreredes anmodninger skal besvares inden for en fastsat tidsfrist, og afslag skal begrundes. Da Unionens institutioner og organer ikke under nogen omstændigheder forventes at opkræve gebyrer til dækning af administrative omkostninger i forbindelse med formidling af oplysninger, blev denne mulighed ikke videreført fra forordning (EU) 2016/679.

Afdeling 2 – Information og indsigt i oplysninger

Artikel 15 angiver den dataansvarliges underretningspligt over for den registrerede, når der indsamles personoplysninger fra den registrerede, på grundlag af artikel 13 i forordning (EU) 2016/679 og en videreudvikling af artikel 11 i forordning (EF) nr. 45/2001, så der gives oplysninger til den registrerede, herunder om opbevaringsperioden og retten til at indgive klage og i forbindelse med internationale overførsler.

Artikel 16 fastsætter på grundlag af artikel 14 i forordning (EU) 2016/679 og en videreudvikling af artikel 12 i forordning (EF) nr. 45/2001 den dataansvarliges underretningspligt over for den registrerede, når der ikke er indsamlet personoplysninger fra den registrerede om den kilde, oplysningerne kommer fra. Den viderefører også de mulige undtagelser i forordning (EU) 2016/679, så der f.eks. ikke gælder en sådan pligt, hvis den registrerede allerede er bekendt med oplysningerne, hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt for den dataansvarlige at give den registrerede sådanne oplysninger, når personoplysningerne skal holdes fortrolige i medfør af tavshedspligt, der er reguleret i EU-retten, eller hvis registreringen eller videregivelsen er udtrykkeligt fastsat ved lov. Dette kunne f.eks. være tilfældet i sager anlagt af social- og sundhedstjenester.

Artikel 17 fastsætter i overensstemmelse med artikel 15 i forordning (EU) 2016/679 og på grundlag af en videreudvikling af artikel 13 i forordning (EF) nr. 45/2001 bestemmelser om den registreredes ret til indsigt i sine personoplysninger med tilføjelse af nye elementer såsom forpligtelsen til at underrette de registrerede om opbevaringsperioden og om retten til berigtigelse og sletning og indgivelse af en klage.

Afdeling 3 – Berigtigelse og sletning

Artikel 18 fastsætter den registreredes ret til sletning på grundlag af artikel 16 i forordning (EU) 2016/679 og en videreudvikling af artikel 14 i forordning (EF) nr. 45/2001.

Artikel 19 fastsætter i overensstemmelse med artikel 17 i forordning (EU) 2016/679 og på grundlag af en videreudvikling af artikel 16 i forordning (EF) nr. 45/2001 den registreredes ret til at blive glemt og til at få slettet oplysninger. Den fastsætter betingelserne for retten til at blive glemt, herunder den pligt, som den dataansvarlige, der har offentliggjort personoplysningerne, har til at informere tredjeparter om den registreredes anmodning om at slette alle link til, kopier af eller gengivelser af de pågældende personoplysninger.

Artikel 20 indfører retten til at opnå begrænsning af behandling i visse tilfælde, idet den tvetydige terminologi "blokering", der er anvendt i forordning (EF) nr. 45/2001, undgås, og idet der sikres sammenhæng med den nye terminologi i artikel 18 i forordning (EU) 2016/679.

Artikel 21 fastsætter i overensstemmelse med artikel 19 i forordning (EU) 2016/679 og på grundlag af en videreudvikling af artikel 17 i forordning (EF) nr. 45/2001 den dataansvarliges forpligtelse til at underrette de modtagere, som personoplysningerne er videregivet til, om enhver berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt. Den dataansvarlige oplyser også den registrerede om disse modtagere, hvis vedkommende anmoder herom.

Artikel 22 indfører i overensstemmelse med artikel 20 i forordning (EU) 2016/679 den registreredes ret til dataportabilitet, dvs. retten til at modtage de personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, eller til at få sådanne personoplysninger fremsendt direkte til en anden dataansvarlig, når det er teknisk muligt. Som en forudsætning, og for yderligere at forbedre fysiske personers indsigt i deres personoplysninger fastsættes der bestemmelser om retten til at få disse oplysninger fra den dataansvarlige i et struktureret, almindeligt anvendt og maskinlæsbart format. Denne ret gælder kun, hvis behandlingen er baseret på den registreredes samtykke eller en kontrakt, som den pågældende har indgået.

Afdeling 4 – Ret til indsigelse og automatiske individuelle afgørelser

Artikel 23 fastsætter den registreredes ret til indsigelse på grundlag af artikel 21 i forordning (EU) 2016/679 og en videreudvikling af artikel 18 i forordning (EF) nr. 45/2001.

Artikel 24 vedrører den registreredes ret til ikke at være genstand for en foranstaltning, der alene er baseret på automatisk behandling, herunder profilering, i overensstemmelse med artikel 22 i forordning (EU) 2016/679 og på grundlag af en videreudvikling af artikel 19 i forordning (EF) nr. 45/2001.

Afdeling 5 – Begrænsninger

Artikel 25 tillader begrænsninger af den registreredes rettigheder i henhold til artikel 14-22 og i artikel 34 og 38 og af de principper, der er fastsat i artikel 4 (for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 14-22). Sådanne begrænsninger bør fastsættes i retsakter, der vedtages på grundlag af traktaterne eller de interne regler i Unionens institutioner og organer. Hvis en sådan mulighed for en sådan begrænsning ikke er fastsat i de retsakter, der er vedtaget på grundlag af traktaterne eller de interne regler i Unionens institutioner og organer, kunne der i sidstnævnte pålægges en ad hoc-begrænsning, hvis den respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til et eller flere af de mål, der muliggør begrænsninger af den registreredes rettigheder. Denne fremgangsmåde er i overensstemmelse med artikel 23 i forordning (EU) 2016/679. I modsætning til artikel 23 i forordning (EU) 2016/679 og i overensstemmelse med artikel 20 i forordning (EF) nr. 45/2001 åbner bestemmelsen dog ikke mulighed for at begrænse retten til indsigelse og retten til ikke at blive genstand for afgørelser, som alene er truffet på grundlag af automatisk behandling. Kravene til begrænsninger er i overensstemmelse med chartret om grundlæggende rettigheder og den europæiske menneskerettighedskonvention som fortolket af henholdsvis Den Europæiske Unions Domstol og Den Europæiske Menneskerettighedsdomstol.

KAPITEL IV – DATAANSVARLIG OG DATABEHANDLER

Afdeling 1 – Generelle forpligtelser

Artikel 26 bygger på artikel 24 i forordning (EU) 2016/679 og indfører "princippet om ansvarlighed" ved at beskrive den dataansvarliges ansvar for at overholde denne forordning og påvise overholdelsen, herunder ved indførelse af passende tekniske og organisatoriske foranstaltninger og eventuelt interne politikker og mekanismer, som kan sikre denne overholdelse. Artikel 24, stk. 3, i forordning (EU) 2016/679 blev ikke videreført i denne bestemmelse, da Unionens institutioner og organer ikke bør overholde adfærdskodekser eller certificeringsmekanismer.

Artikel 27 fastsætter i overensstemmelse med artikel 25 i forordning (EU) 2016/679 den dataansvarliges forpligtelser som følge af principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.

Artikel 28 om fælles dataansvarlige bygger på artikel 26 i forordning (EU) 2016/679 med henblik på at fastlægge ansvarsområderne for fælles dataansvarlige – uanset om det er Unionens institutioner eller organer eller ej – for så vidt angår deres indbyrdes forhold og forhold til den registrerede. Denne bestemmelse vedrører den situation, hvor alle fælles dataansvarlige er omfattet af den samme retsorden (denne forordning), og den situation, hvor nogle er dækket af denne forordning og andre af et andet retligt instrument (forordning (EU) 2016/679, direktiv (EU) 2016/680, direktiv (EU) 2016/681 og andre specifikke databeskyttelsesordninger vedrørende Unionens institutioner eller organer).

Artikel 29 bygger på artikel 28 i forordning (EU) 2016/679 og er en videreudvikling af artikel 23 i forordning (EF) nr. 45/2001 med henblik på at præcisere databehandlernes position og forpligtelser, herunder konstateringen af, at en databehandler, der overtræder forordningen ved at fastlægge formålene med og hjælpemidlerne til behandling, anses for at være en dataansvarlig for så vidt angår den pågældende behandling.

Artikel 30 om behandling, der udføres for den dataansvarlige eller databehandleren, bygger på artikel 29 i forordning (EU) 2016/679, der forbyder databehandlere eller enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, at behandle disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Ved artikel 31, der bygger på artikel 30 i forordning (EU) 2016/679, indføres en forpligtelse for de dataansvarlige og databehandlerne til at opbevare dokumentation for de behandlingsaktiviteter, der udføres under deres ansvar, i stedet for en forudgående anmeldelse til EDPS som krævet i artikel 25 i forordning (EF) nr. 45/2001 og til registret over databeskyttelsesrådgivere. I modsætning til forordning (EU) 2016/679 henvises der i denne bestemmelse ikke til repræsentanter, da Unionens institutioner ikke har repræsentanter og altid vil have databeskyttelsesrådgivere. Henvisninger til overførsler baseret på undtagelser i særlige situationer som i forordning (EU) 2016/679 blev ikke videreført, da der ikke er planlagt sådanne former for overførsler i nærværende forordning. Forpligtelsen til at føre en fortegnelse over behandlingsaktiviteter kan centraliseres i en EU-institution eller et EU-organ. I så fald har Unionens institutioner og organer mulighed for at føre deres fortegnelser over behandlingsaktiviteter i form af et offentligt tilgængeligt register.

Artikel 32 præciserer på grundlag af artikel 31 i forordning (EU) 2016/679 de forpligtelser, som Unionens institutioner og organer har til at samarbejde med EDPS.

Afdeling 2 – Sikkerhed i forbindelse med personoplysninger og fortrolighed i forbindelse med elektronisk kommunikation

Artikel 33, der bygger på artikel 32 i forordning (EU) 2016/679 og en videreudvikling af artikel 22 i forordning (EF) nr. 45/2001, forpligter den dataansvarlige til at gennemføre passende foranstaltninger med henblik på at garantere behandlingssikkerheden, idet denne forpligtelse udvides til at omfatte databehandlere, uanset aftalen med den dataansvarlige.

Artikel 34 bygger på artikel 36 i forordning (EF) nr. 45/2001 og sikrer fortroligheden i forbindelse med elektronisk kommunikation inden for Unionens institutioner og organer.

Artikel 35 bygger på den eksisterende praksis i Unionens institutioner og organer og beskytter oplysninger vedrørende terminaludstyr for slutbrugere, der har adgang til offentligt tilgængelige websteder og mobilapplikationer, som stilles til rådighed af Unionens institutioner og organer i overensstemmelse med forordning (EU) XXXX/XX [ny e-databeskyttelsesforordning], særlig artikel 8.

Artikel 36 bygger på artikel 38 i forordning (EF) nr. 45/2001 og beskytter personoplysninger i offentlige og private fortegnelser i Unionens institutioner og organer.

Artikel 37 og 38 indfører en forpligtelse til at anmelde brud på persondatasikkerheden i overensstemmelse med artikel 33 og 34 i forordning (EU) 2016/679.

Afdeling 3 – Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

Artikel 39 bygger på artikel 35 i forordning (EU) 2016/679 og indfører en forpligtelse for de dataansvarlige og databehandlerne til at udføre en konsekvensanalyse vedrørende databeskyttelse forud for behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Denne forpligtelse vil navnlig gælde i tilfælde af en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, behandling i stort omfang af særlige kategorier af oplysninger eller systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

Artikel 40 bygger på artikel 36 i forordning (EU) 2016/679 og vedrører de tilfælde, hvor tilladelse fra og høring af EDPS er obligatorisk inden behandlingen. Artikel 40, stk. 1 gengiver dog betragtning 94 i forordning (EU) 2016/679 og har til formål at præcisere anvendelsesområdet for forpligtelsen til at foretage høring.

Afdeling 4 – Underretning og høring som led i lovgivningsproceduren

Artikel 41 pålægger Unionens institutioner og organer en forpligtelse til at underrette EDPS om udarbejdelsen af administrative foranstaltninger og interne regler vedrørende behandlingen af personoplysninger.

Artikel 42 pålægger Kommissionen en forpligtelse til at høre EDPS efter vedtagelsen af forslag til en lovgivningsmæssig retsakt og af henstillinger eller forslag til Rådet i henhold til artikel 218 i TEUF og ved udarbejdelsen af delegerede retsakter eller gennemførelsesretsakter, der påvirker beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger. Når disse retsakter har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, kan Kommissionen høre Det Europæiske Databeskyttelsesråd. I sådanne tilfælde bør begge enheder koordinere deres arbejde med henblik på at afgive en fælles udtalelse. Der fastsættes en frist på otte uger for ydelse af rådgivning i ovennævnte tilfælde med mulighed for undtagelser for hastende sager, og når det i øvrigt er hensigtsmæssigt, f.eks. når Kommissionen er i færd med at udarbejde delegerede retsakter og gennemførelsesretsakter.

Afdeling 5 – Forpligtelse til at reagere på påståede overtrædelser

Artikel 43 pålægger de dataansvarlige og databehandlerne at reagere på påståede overtrædelser, efter at EDPS har besluttet at henvise en sag til dem.

Afdeling 6 – Databeskyttelsesrådgiver

Artikel 44 bygger på artikel 37, stk. 1, litra a), i forordning (EU) 2016/679 og artikel 24 i forordning (EF) nr. 45/2001 med henblik på at indføre en obligatorisk databeskyttelsesrådgiver for Unionens institutioner og organer.

Artikel 45 bygger på artikel 38 i forordning (EU) 2016/679 og artikel 24 i forordning (EF) nr. 45/2001 med henblik på at fastlægge databeskyttelsesrådgiverens stilling.

Artikel 46 bygger på artikel 39 i forordning (EU) 2016/679 og artikel 24 i forordning (EF) nr. 45/2001 og på punkt 2 og 3 i bilaget til forordning (EF) nr. 45/2001 med henblik på at fastlægge databeskyttelsesrådgiverens kerneopgaver.

KAPITEL V – OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

Artikel 47 bygger videre på artikel 9 i forordning (EF) nr. 45/2001 og præciserer det generelle princip i artikel 44 i forordning (EU) 2016/679 om, at overholdelse af andre bestemmelser i denne forordning og betingelserne i kapitel V er obligatorisk for enhver overførsel af personoplysninger til tredjelande eller internationale organisationer, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation.

Artikel 48 bestemmer, at en sådan overførsel af personoplysninger fra et tredjeland eller en international organisation kan finde sted, når Kommissionen i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 har besluttet, at der er garanteret et passende beskyttelsesniveau i tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland eller i den internationale organisation, og at personoplysningerne kun overføres, for at der kan udføres opgaver, som henhører under den dataansvarliges kompetence. Stk. 2 og 3 i denne artikel er overtaget fra artikel 9 i forordning (EF) nr. 45/2001, da de er nyttige elementer for tilsynet med beskyttelsesniveaet i tredjelande og internationale organisationer.

Artikel 49 bygger på artikel 46 i forordning (EU) 2016/679 og kræver, at der ved overførsel af oplysninger til tredjelande, hvor Kommissionen ikke har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, indføres de fornødne garantier, navnlig særlige standardbestemmelser om databeskyttelse og kontraktbestemmelser. Bindende virksomhedsregler, adfærdskodekser og certificeringsmekanismer kunne i overensstemmelse med forordning (EU) 2016/679 anvendes af andre databehandlere end Unionens institutioner og organer. Stk. 4 i denne artikel vedrørende EU-institutioners og -organers pligt til at underrette EDPS om de kategorier af tilfælde, hvor de har anvendt denne artikel, svarer til artikel 9, stk. 8, i forordning (EF) nr. 45/2001 og videreføres på grund af dens særlige karakter. Stk. 5 bygger på gældende eksisterende tilladelser som omhandlet i artikel 46, stk. 5, i forordning (EU) 2016/679.

Artikel 50 præciserer i overensstemmelse med artikel 48 i forordning (EU) 2016/679, at domme afsagt af en ret og afgørelser truffet af administrative myndigheder i et tredjeland, der kræver overførsel eller videregivelse af personoplysninger, kun kan anerkendes eller håndhæves på nogen måde, hvis de bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen, uden at det berører andre grunde til overførsel i henhold til dette kapitel.

Artikel 51 bygger på artikel 49 i forordning (EU) 2016/679 og præciserer undtagelserne for en overførsel af oplysninger. Dette gælder navnlig for overførsler af oplysninger, der udføres af hensyn til vigtige samfundsinteresser, f.eks. ved internationale overførsler af oplysninger, der involverer konkurrencemyndigheder og skatte- eller toldforvaltninger, eller mellem socialsikringsmyndigheder eller fiskerimyndigheder. Stk. 5 vedrørende forpligtelsen til at underrette EDPS om de kategorier af tilfælde, hvor der er blevet anvendt undtagelser for at foretage en overførsel, svarer til den nuværende artikel 9, stk. 8, i forordning (EF) nr. 45/2001.

Artikel 52 bygger på artikel 50 i forordning (EU) 2016/679 og bestemmer udtrykkeligt, at der skal udvikles internationale samarbejdsmekanismer for beskyttelse af personoplysninger mellem EDPS, i samarbejde med Kommissionen og Det Europæiske Databeskyttelsesråd, og tilsynsmyndighederne i tredjelande.

KAPITEL VI – DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE (EDPS)

Artikel 53 bygger på artikel 41 i forordning (EF) nr. 45/2001 og vedrører indførelsen af EDPS.

Artikel 54 bygger på artikel 42 i forordning (EF) nr. 45/2001 og artikel 3 i afgørelse nr. 1247/2002/EF og fastsætter reglerne for Europa-Parlamentets og Rådets udnævnelse af EDPS. Den fastsætter også varigheden af EDPS' embedsperiode, nemlig fem år.

Artikel 55 bygger på artikel 43 i forordning (EF) nr. 45/2001 og artikel 1 i afgørelse nr. 1247/2002/EF og fastsætter de generelle ansættelsesvilkår for EDPS og dennes menneskelige og finansielle ressourcer.

Artikel 56 bygger på artikel 52 i forordning (EU) 2016/679 og artikel 44 i forordning (EF) nr. 45/2001 og præciserer betingelserne for EDPS' uafhængighed under hensyntagen til Den Europæiske Unions Domstols retspraksis.

Artikel 57 omhandler på grundlag af artikel 45 i forordning (EF) nr. 45/2001 EDPS' tavshedspligt både under og efter vedkommendes embedsperiode med hensyn til fortrolige oplysninger, som han eller hun har fået kendskab til under udøvelsen af sit officielle hverv.

Artikel 58 bygger på artikel 57 i forordning (EU) 2016/679 og artikel 46 i forordning (EF) nr. 45/2001 og fastsætter EDPS' opgaver, herunder behandling og undersøgelse af klager og bevidstgørelse af offentligheden om risici, regler, garantier og rettigheder.

Artikel 59 bygger på artikel 58 i forordning (EU) 2016/679 og artikel 47 i forordning (EF) nr. 45/2001 og fastsætter EDPS' beføjelser.

Artikel 60 bygger på artikel 59 i forordning (EU) 2016/679 og artikel 48 i forordning (EF) nr. 45/2001 og fastlægger EDPS' forpligtelse til at udarbejde en årsberetning.

KAPITEL VII – SAMARBEJDE OG SAMMENHÆNG

Artikel 61 bygger på artikel 61 i forordning (EU) 2016/679 og artikel 46, litra f), i forordning (EF) nr. 45/2001 og indfører udtrykkelige regler om EDPS' samarbejde med de nationale tilsynsmyndigheder.

Artikel 62 fastsætter EDPS' forpligtelser, når der i andre EU-retsakter henvises til denne artikel inden for rammerne af det koordinerede tilsyn med de nationale tilsynsmyndigheder. Den søger at gennemføre en fælles model for koordineret tilsyn. Denne model kunne anvendes til koordineret tilsyn med store IT-systemer såsom Eurodac, Schengen-informationssystem II, toldinformationssystemet eller informationssystemet for det indre marked, men også til tilsyn med nogle af Unionens agenturer, hvor der er indført en specifik model for samarbejde mellem EDPS og de nationale myndigheder såsom Europol. Det Europæiske Databeskyttelsesråd bør fungere som et fælles forum for sikring af det effektive koordinerede tilsyn over en bred front.

KAPITEL VIII – RETSMIDLER, ANSVAR OG SANKTIONER

Artikel 63 bygger på artikel 77 i forordning (EU) 2016/679 og artikel 32 i forordning (EF) nr. 45/2001 og fastsætter enhver registrerets ret til at indgive en klage til EDPS. Den pålægger EDPS en forpligtelse til at handle og underrette den registrerede om forløbet og resultatet af klagen inden en frist på tre måneder, hvorefter klagen vil blive anset for at være afvist.

Artikel 64 er en videreførelse af artikel 32, stk. 1, i forordning (EF) nr. 45/2001, der bestemmer, at Den Europæiske Unions Domstol har kompetence til at afgøre alle tvister, som vedrører bestemmelserne i denne forordning, herunder erstatningssøgsmål.

Artikel 65 fastsætter retten til erstatning for både materielle og immaterielle skader på de betingelser, der er fastsat i traktaterne, bl.a. vedrørende erstatningsansvar.

Artikel 66 bygger på artikel 83 i forordning (EU) 2016/679 og tillægger EDPS beføjelse til at pålægge Unionens institutioner og organer administrative bøder som en sanktion, der kan anvendes som sidste udvej, og kun, når Unionens institutioner eller organer har undladt at efterkomme et påbud fra EDPS, jf. artikel 59, stk. 2, litra a)-h) og litra j). Artiklen fastlægger også kriterierne for, hvordan der skal træffes afgørelse om størrelsen af den administrative bøde i hvert enkelt tilfælde, mens de årlige lofter bygger på bødestørrelser, som anvendes i nogle medlemsstater.

Artikel 67 tillader i overensstemmelse med artikel 80, stk. 1, i forordning (EU) 2016/679 visse organer, organisationer eller sammenslutninger at indgive en klage på vegne af den registrerede.

Artikel 68 fastsætter i overensstemmelse med artikel 33 i forordning (EF) nr. 45/2001 særlige regler med henblik på at beskytte Unionens personale, som uden om de officielle kanaler indgiver en klage til EDPS vedrørende en påstået overtrædelse af bestemmelserne i denne forordning.

Artikel 69 bygger på artikel 49 i forordning (EF) nr. 45/2001 og fastsætter sanktioner i tilfælde af, at Den Europæiske Unions tjenestemænd eller andre ansatte undlader at opfylde forpligtelserne i denne forordning.

KAPITEL IX – GENNEMFØRELSESRETSAKTER

Artikel 70 indeholder bestemmelsen om den udvalgsprocedure, der skal gennemføres for at tillægge Kommissionen gennemførelsesbeføjelser i de tilfælde, hvor ensartede betingelser for gennemførelse af retligt bindende EU-retsakter er nødvendige i henhold til artikel 291 i TEUF. Undersøgelsesproceduren finder anvendelse.

KAPITEL X – AFSLUTTENDE BESTEMMELSER

Artikel 71 ophæver forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF og fastsætter, at henvisninger til de to ophævede retsakter skal betragtes som henvisninger til nærværende forordning.

Det præciseres i artikel 72, at den nuværende embedsperiode for Den Europæiske Tilsynsførende for Databeskyttelse ikke berøres af denne forordning, og at artikel 54, stk. 4, 5 og 7, og artikel 56 og 57 i forordningen finder anvendelse på den nuværende assisterende tilsynsførende indtil udløbet af hans embedsperiode, dvs. indtil den 5. december 2019.

Artikel 73 fastsætter den 25. maj 2018 som datoen for denne forordnings ikrafttrædelse med henblik på at sikre sammenhæng med datoen for anvendelsen af forordning (EU) 2016/679.

2017/0002 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 10 ,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1)Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I henhold til artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder ("chartret") og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) har enhver ret til beskyttelse af personoplysninger, der vedrører den pågældende.

(2)Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 11 sikrer fysiske personer rettigheder, der kan håndhæves, fastlægger de forpligtelser, som de dataansvarlige i Unionens institutioner og organer har, og indfører en uafhængig tilsynsmyndighed, Den Europæiske Tilsynsførende for Databeskyttelse, der er ansvarlig for tilsynet med behandlingen af personoplysninger i Unionens institutioner og organer. Den gælder dog ikke for behandling af personoplysninger under udøvelsen af en aktivitet i Unionens institutioner og organer, der falder uden for EU-rettens anvendelsesområde.

(3)Europa-Parlamentets og Rådets forordning (EU) 2016/679 12 og Europa-Parlamentets og Rådets direktiv (EU) 2016/680 13 blev vedtaget den 27. april 2016. Mens forordningen fastsætter generelle regler med henblik på at beskytte fysiske personer i forbindelse med behandlingen af personoplysninger og sikre fri udveksling af personoplysninger i Unionen, fastsætter direktivet særlige regler med henblik på at beskytte fysiske personer i forbindelse med behandlingen af personoplysninger og sikre fri udveksling af personoplysninger i Unionen inden for retligt samarbejde i straffesager og politisamarbejde.

(4)I forordning (EU) 2016/679 fremhæves behovet for de nødvendige tilpasninger af forordning (EF) nr. 45/2001 med henblik på sikre en stærk og sammenhængende databeskyttelsesramme i Unionen, så denne ramme kan finde anvendelse samtidig med forordning (EU) 2016/679.

(5)Af hensyn til en sammenhængende tilgang til beskyttelse af personoplysninger i hele Unionen og fri udveksling af personoplysninger i Unionen bør databeskyttelsesreglerne for Unionens institutioner, organer, kontorer og agenturer så vidt muligt tilpasses til de databeskyttelsesregler, der er vedtaget for medlemsstaterne. Når bestemmelserne i nærværende forordning bygger på det samme koncept som bestemmelserne i forordning (EU) 2016/679, bør disse to bestemmelser fortolkes ensartet, navnlig fordi ordningen i nærværende forordning skal betragtes som en pendant til ordningen i forordning (EU) 2016/679.

(6)Personer, hvis personoplysninger behandles af Unionens institutioner og organer, uanset i hvilken sammenhæng, f.eks. fordi de er ansat af disse institutioner og organer, bør beskyttes. Denne forordning bør ikke finde anvendelse på behandlingen af personoplysninger om afdøde personer. Denne forordning finder ikke anvendelse på behandling af personoplysninger, der vedrører juridiske personer, navnlig virksomheder, der er etableret som juridiske personer, herunder den juridiske persons navn, form og kontaktoplysninger.

(7)For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendelsesområde.

(8)I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter. Denne forordning bør derfor kun finde anvendelse på EU-agenturer, der udfører aktiviteter inden for retligt samarbejde i straffesager og politisamarbejde, i det omfang den EU-ret, der finder anvendelse på sådanne agenturer, ikke indeholder særlige regler om behandling af personoplysninger.

(9)Direktiv (EU) 2016/680 fastsætter harmoniserede regler om beskyttelse og fri udveksling af personoplysninger, der behandles med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. For at fremme det samme beskyttelsesniveau for fysiske personer gennem rettigheder, der kan håndhæves i hele Unionen, og forhindre forskelle, der hæmmer udvekslingen af personoplysninger mellem EU-agenturer, som udfører aktiviteter inden for retligt samarbejde i straffesager og politisamarbejde, og kompetente myndigheder i medlemsstaterne, bør reglerne om beskyttelse og fri udveksling af operationelle personoplysninger, der behandles af sådanne EU-agenturer, bygge på de principper, der ligger til grund for denne forordning og være forenelige med direktiv (EU) 2016/680.

(10)Såfremt retsakten om oprettelse af et EU-agentur, der udfører aktiviteter henhørende under kapitel 4 og 5 i afsnit V i traktaten, omfatter en særskilt databeskyttelsesordning for behandling af operationelle personoplysninger, bør disse ordninger ikke berøres af denne forordning. Kommissionen bør dog i overensstemmelse med artikel 62 i direktiv (EU) 2016/680 senest den 6. maj 2019 gennemgå EU-retsakter, som regulerer de kompetente myndigheders behandling, med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, og hvor det er relevant, fremsætte de nødvendige forslag til ændring af disse retsakter for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde.

(11)Principperne om databeskyttelse bør gælde for alle oplysninger om en identificeret eller identificerbar fysisk person. Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, som med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom de omkostninger og den tid, der kræves for identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling. Principperne om databeskyttelse bør derfor ikke gælde for anonyme oplysninger, dvs. oplysninger der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til statistiske eller forskningsmæssige formål.

(12)Anvendelsen af pseudonymisering af personoplysninger kan mindske risikoen for de berørte registrerede og gøre det lettere for dataansvarlige og databehandlere at opfylde deres databeskyttelsesforpligtelser. Det er ikke tanken med den udtrykkelige indførelse af "pseudonymisering" i denne forordning at udelukke andre databeskyttelsesforanstaltninger.

(13)Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.

(14)Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved denne accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der i denne forbindelse tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.

(15)Enhver behandling af personoplysninger bør være lovlig og rimelig. Det bør være gennemsigtigt for de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Personoplysninger bør behandles på en måde, der garanterer tilstrækkelig sikkerhed og fortrolighed, herunder for at hindre uautoriseret adgang til eller anvendelse af personoplysninger eller af det udstyr, der anvendes til behandlingen.

(16)I overensstemmelse med princippet om ansvarlighed bør EU-institutioner og organer, når de fremsender personoplysninger til andre EU-institutioner eller organer, kontrollere, om sådanne personoplysninger kræves for den lovlige udførelse af opgaver, der henhører under modtagerens kompetence, når modtageren ikke selv er dataansvarlig. Efter at en modtager har anmodet om fremsendelse af personoplysninger, bør den dataansvarlige kontrollere, om der foreligger en relevant begrundelse for vedkommendes lovlige behandling af personoplysninger, samt modtagerens kompetence og bør foretage en foreløbig vurdering af, om det er nødvendigt at fremsende oplysningerne. Hvis der opstår tvivl om nødvendigheden, bør den dataansvarlige indhente yderligere oplysninger hos modtageren. Modtageren bør sikre, at nødvendigheden af fremsendelsen af oplysningerne efterfølgende kan kontrolleres.

(17)For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af nødvendigheden af at udføre en opgave, som udføres i samfundets interesse af Unionens institutioner og organer eller under offentlig myndighedsudøvelse, nødvendigheden af at overholde den retlige forpligtelse, som påhviler den dataansvarlige, eller et andet legitimt grundlag som omhandlet i denne forordning, herunder den registreredes samtykke, eller nødvendigheden af at opfylde en kontrakt, som den registrerede er part i, eller af hensyn til foranstaltninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt. Behandling af personoplysninger, som finder sted med henblik på udførelse af de opgaver, som Unionens institutioner og organer udfører i samfundets interesse, omfatter behandling af personoplysninger, der er nødvendig for disse institutioners og organers forvaltning og funktion. Behandling af personoplysninger, der er nødvendige for at beskytte en interesse af fundamental betydning for den registreredes eller en anden fysisk persons liv, bør ligeledes anses for lovlig. Behandling af personoplysninger på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Nogle typer behandling kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når behandling er nødvendig af humanitære årsager, herunder med henblik på at overvåge epidemier og deres spredning eller i humanitære nødsituationer, navnlig i tilfælde af naturkatastrofer og menneskeskabte katastrofer.

(18)EU-retten, herunder de interne regler som omhandlet i denne forordning, bør være klar og præcis, og dens anvendelse bør være forudsigelig for personer, der er omfattet af den, jf. Den Europæiske Unions Domstols og Den Europæiske Menneskerettighedsdomstols retspraksis.

(19)Behandling af personoplysninger til andre formål end dem, som personoplysningerne oprindelig blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. Hvis behandling er nødvendig for at udføre en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, kan EU-retten fastsætte og præcisere de opgaver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling. Viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter. Retsgrundlaget i EU-retten for behandling af personoplysninger kan også udgøre et retsgrundlag for viderebehandling. For at fastslå, om et formål med viderebehandling er foreneligt med det formål, som personoplysningerne oprindelig blev indsamlet til, bør den dataansvarlige efter at have opfyldt alle kravene til lovligheden af den oprindelige behandling bl.a. tage hensyn til enhver forbindelse mellem disse formål og formålet med den påtænkte viderebehandling, den sammenhæng, som personoplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre anvendelse heraf på grundlag af deres forhold til den dataansvarlige, personoplysningernes art, konsekvenserne af den påtænkte viderebehandling for de registrerede og tilstedeværelse af fornødne garantier i forbindelse med både de oprindelige og de påtænkte yderligere behandlingsaktiviteter.

(20)Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF 14 bør der stilles en samtykkeerklæring, som er udformet af den dataansvarlige, til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller trække sit samtykke tilbage, uden at det er til skade for den pågældende.

(21)Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår behandling af personoplysninger. En sådan særlig beskyttelse bør navnlig gælde for oprettelse af personlighedsprofiler og indsamling af personoplysninger vedrørende børn, når der anvendes tjenester, der tilbydes direkte til et barn på websteder tilhørende Unionens institutioner og organer såsom kommunikationstjenester direkte mellem mennesker eller onlinesalg af billetter, og når behandlingen af personoplysninger er baseret på samtykke.

(22)Når modtagere, der er etableret i Unionen og underlagt forordning (EU) 2016/679 eller direktiv (EU) 2016/680, ønsker at få fremsendt personoplysninger til dem fra Unionens institutioner og organer, bør disse modtagere påvise, at fremsendelsen er nødvendig for at nå deres mål, står i rimeligt forhold til og ikke går ud over, hvad der er nødvendigt for at nå dette mål. Unionens institutioner og organer bør i overensstemmelse med princippet om gennemsigtighed godtgøre, at dette er nødvendigt, når de selv indleder fremsendelsen.

(23)Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da den sammenhæng, som behandlingen af dem indgår i, kunne indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Disse personoplysninger bør omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket "race" i denne forordning ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, eftersom de kun vil være omfattet af definitionen af biometriske data, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig identifikation eller autentifikation af en fysisk person. Foruden de specifikke krav til behandling af følsomme oplysninger bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkeligt gives mulighed for undtagelser fra det generelle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at muliggøre udøvelse af grundlæggende frihedsrettigheder.

(24)Behandling af særlige kategorier af personoplysninger kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke. En sådan behandling bør være underlagt passende og specifikke foranstaltninger med henblik på at beskytte fysiske personers rettigheder og frihedsrettigheder. I denne sammenhæng fortolkes "folkesundhed" som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 15 , dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på helbredstilstanden, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Sådan behandling af helbredsoplysninger af hensyn til samfundsinteresser bør ikke medføre, at tredjemænd behandler personoplysninger til andre formål.

(25)Hvis de personoplysninger, der behandles af en dataansvarlig, ikke sætter den dataansvarlige i stand til at identificere en fysisk person, bør den dataansvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. Den dataansvarlige bør dog ikke nægte at tage imod yderligere oplysninger fra den registrerede, som den pågældende giver med henblik på udøvelsen af sine rettigheder. Identifikation bør omfatte digital identifikation af en registreret, f.eks. gennem en autentifikationsmekanisme, såsom de samme legitimationsoplysninger som dem, den registrerede anvender til at logge på den onlinetjeneste, der tilbydes af den dataansvarlige.

(26)Behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør være omfattet af fornødne garantier for den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning. Disse garantier bør sikre, at der er truffet tekniske og organisatoriske foranstaltninger til især at sikre princippet om dataminimering. Viderebehandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal foretages, når den dataansvarlige har vurderet muligheden for at opfylde disse formål ved at behandle oplysninger, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, forudsat at de fornødne garantier foreligger (som f.eks. pseudonymisering af oplysninger). Unionens institutioner og organer bør sikre de fornødne garantier for behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i EU-retten, der kan omfatte interne regler.

(27)Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i henhold til denne forordning, herunder mekanismer til at anmode om og i givet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af personoplysninger og udøvelsen af retten til indsigelse. Den dataansvarlige bør også give mulighed for elektroniske anmodninger, navnlig hvis personoplysninger behandles elektronisk. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra en registreret uden unødig forsinkelse og senest inden for en måned og begrunde det, hvis vedkommende ikke agter at imødekomme sådanne anmodninger.

(28)Principperne om rimelig og gennemsigtig behandling kræver, at den registrerede underrettes om behandlingsaktiviteters eksistens og deres formål. Den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under. Den registrerede bør desuden underrettes om tilstedeværelse af profilering og konsekvenserne heraf. Hvis personoplysninger indsamles fra den registrerede, bør den registrerede også underrettes om, hvorvidt den pågældende er forpligtet til at meddele personoplysningerne, og om konsekvenserne, hvis vedkommende ikke meddeler sådanne oplysninger. Denne information kan gives sammen med standardiserede ikoner med henblik på at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letlæselig og letforståelig måde. Hvis ikonerne præsenteres elektronisk, bør de være maskinlæsbare.

(29)Oplysninger om behandling af personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen fra den registrerede, eller hvis personoplysningerne indhentes fra en anden kilde, inden for en rimelig periode afhængigt af de konkrete omstændigheder. Hvis personoplysninger lovligt kan videregives til en anden modtager, bør den registrerede underrettes, når personoplysningerne første gang videregives til modtageren. Hvis den dataansvarlige agter at behandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, bør den dataansvarlige forud for denne viderebehandling give den registrerede oplysninger om dette andet formål og andre nødvendige oplysninger. Hvis den registrerede ikke kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, bør der gives generelle oplysninger.

(30)En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. Dette omfatter de registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i det mindste når den er baseret på profilering. Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Denne vurdering bør dog ikke resultere i en afvisning af at give al information til den registrerede. Hvis den dataansvarlige behandler en stor mængde oplysninger om den registrerede, bør den dataansvarlige kunne anmode om, at den registrerede, inden informationen gives, præciserer den information eller de behandlingsaktiviteter, som anmodningen vedrører.

(31)En registreret bør have ret til at få berigtiget sine personoplysninger og "ret til at blive glemt", hvis opbevaringen af sådanne oplysninger overtræder denne forordning eller EU-ret, som den dataansvarlige er underlagt. En registreret bør have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis personoplysningerne ikke længere er nødvendige til de formål, hvortil de er blevet indsamlet eller på anden måde behandlet, hvis en registreret har trukket sit samtykke tilbage eller gør indsigelse mod behandling af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning. Denne ret er navnlig relevant, når den registrerede har givet sit samtykke som barn og ikke fuldt ud var bekendt med risiciene i forbindelse med behandlingen og senere ønsker at fjerne sådanne personoplysninger, særligt på internettet. Den registrerede bør kunne udøve denne ret, selv om vedkommende ikke længere er et barn. Yderligere opbevaring af personoplysningerne bør dog være lovlig, hvis det er nødvendigt for at udøve retten til ytrings- og informationsfrihed, for at overholde en retlig forpligtelse, for udførelsen af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, af hensyn til samfundsinteresser på folkesundhedsområdet, til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller statistiske formål, eller for at retskrav kan fastlægges, gøres gældende eller forsvares.

(32)For at styrke retten til at blive glemt i onlinemiljøet bør retten til sletning udvides, så en dataansvarlig, der har offentliggjort personoplysninger, forpligtes til at underrette de dataansvarlige, der behandler sådanne personoplysninger, med henblik på at få slettet alle link til, kopier af eller gengivelser af disse personoplysninger. I den forbindelse bør den dataansvarlige tage rimelige skridt under hensyntagen til den tilgængelige teknologi og de midler, som den dataansvarlige har til sin rådighed, herunder tekniske foranstaltninger, til at informere de dataansvarlige, der behandler personoplysningerne, om den registreredes anmodning.

(33)Metoder til at begrænse behandlingen af personoplysninger kan bl.a. indebære, at udvalgte oplysninger midlertidig flyttes til et andet behandlingssystem, at udvalgte personoplysninger gøres utilgængelige for brugere, eller at offentliggjorte oplysninger midlertidig fjernes fra et websted. I automatiske registre bør begrænsning af behandling i princippet sikres ved hjælp af tekniske midler på en sådan måde, at personoplysningerne ikke kan viderebehandles og ikke kan ændres. Det forhold, at behandling af personoplysninger er begrænset, bør angives tydeligt i systemet.

(34)For at give den registrerede øget kontrol over sine personoplysninger bør vedkommende, når behandling af personoplysninger foretages automatisk, også kunne modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, i et struktureret, almindeligt anvendt, maskinlæsbart og indbyrdes kompatibelt format og kunne fremsende dem til en anden dataansvarlig. Dataansvarlige bør opfordres til at udvikle indbyrdes kompatible formater, der muliggør dataportabilitet. Denne ret bør gælde, hvis den registrerede har givet personoplysningerne på grundlag af sit samtykke, eller hvis behandlingen er nødvendig for opfyldelsen af en kontrakt. Derfor bør den ikke gælde, hvis behandlingen af personoplysninger er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Den registreredes ret til at fremsende eller modtage personoplysninger vedrørende sig selv bør ikke skabe en forpligtelse for de dataansvarlige til at indføre eller opretholde behandlingssystemer, som er teknisk kompatible. Såfremt et sæt personoplysninger vedrører mere end én registreret, bør retten til at modtage personoplysningerne ikke berøre andre registreredes rettigheder og frihedsrettigheder i overensstemmelse med denne forordning. Denne ret bør endvidere ikke berøre den registreredes ret til at få slettet personoplysninger og begrænsningerne i denne ret som fastsat i denne forordning og bør navnlig ikke indebære, at personoplysninger, som den registrerede har givet til opfyldelse af en kontrakt, slettes, i det omfang og så længe personoplysningerne er nødvendige for opfyldelse af kontrakten. Hvis det er teknisk muligt, bør den registrerede have ret til at få personoplysningerne fremsendt direkte fra en dataansvarlig til en anden.

(35)Hvis personoplysninger kan behandles lovligt, fordi behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør en registreret ikke desto mindre have ret til at gøre indsigelse mod behandling af personoplysninger på baggrund af den pågældendes særlige situation. Det bør være op til den dataansvarlige at påvise, at dennes vægtige legitime interesse går forud for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

(36)Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har retsvirkning eller som på tilsvarende vis i betydelig grad påvirker den pågældende, såsom e-rekrutteringsprocedurer uden nogen menneskelig indgriben. En sådan behandling omfatter "profilering", der består af enhver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomiske situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografiske position eller bevægelser, når den har retsvirkning for den pågældende eller på tilsvarende vis i betydelig grad påvirker den pågældende. Afgørelser baseret på en sådan behandling, herunder profilering, bør dog være tilladt, når EU-retten udtrykkeligt tillader det, En sådan behandling bør under alle omstændigheder være omfattet af de fornødne garantier, herunder specifik underretning af den registrerede og retten til menneskelig indgriben, til at fremkomme med synspunkter, til at få en forklaring på den afgørelse, der er truffet efter en sådan evaluering, og til at bestride afgørelsen. En sådan foranstaltning bør ikke omfatte et barn. For at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under, bør den dataansvarlige anvende passende matematiske eller statistiske procedurer til profileringen, gennemføre tekniske og organisatoriske foranstaltninger, der navnlig kan sikre, at faktorer, der resulterer i unøjagtige personoplysninger, bliver rettet, og at risikoen for fejl minimeres, samt sikre personoplysninger på en måde, der tager højde for de potentielle risici for den registreredes interesser og rettigheder, og som hindrer bl.a. forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk eller religiøs overbevisning, fagforeningsmæssigt tilhørsforhold, genetisk status eller helbredstilstand eller seksuel orientering, eller som resulterer i foranstaltninger, der har en sådan virkning. Automatiske afgørelser og profilering baseret på særlige kategorier af personoplysninger bør kun tillades under særlige omstændigheder.

(37)Retsakter vedtaget på grundlag af traktaterne eller interne regler i Unionens institutioner og organer kan pålægge restriktioner vedrørende specifikke principper og retten til oplysninger, indsigt i og berigtigelse eller sletning af personoplysninger, retten til dataportabilitet, fortroligheden af elektronisk kommunikation samt underretning om et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de dataansvarlige, for så vidt det er nødvendigt og forholdsmæssigt i et demokratisk samfund af hensyn til den offentlige sikkerhed, forebyggelse, efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, herunder beskyttelse af menneskeliv, især som reaktion på naturkatastrofer eller menneskeskabte katastrofer, den interne sikkerhed i Unionens institutioner og organer, andre af Unionens eller en medlemsstats samfundsinteresser, navnlig Unionens eller en medlemsstats vigtige økonomiske eller finansielle interesser, føring af offentlige registre i offentlighedens interesse eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder, herunder social sikring, folkesundhed og humanitære formål.

Når en sådan begrænsning ikke er fastsat i retsakter, der er vedtaget på grundlag af traktaterne eller deres interne regler, kan Unionens institutioner og organer i et konkret tilfælde pålægge en ad hoc-begrænsning af den registreredes specifikke principper og rettigheder, hvis en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder, og hvis den i relation til en specifik behandlingsaktivitet er nødvendig og forholdsmæssig i et demokratisk samfund af hensyn til et eller flere af de mål, som er nævnt i punkt 1. (###) Begrænsningen bør ikke meddeles databeskyttelsesrådgiveren. Alle begrænsninger bør være i overensstemmelse med kravene i chartret og i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

(38)Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder. Risiciene for fysiske personers rettigheder og frihedsrettigheder af varierende sandsynlighed og alvor kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser, hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger, hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger, hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler, hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn, eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede. Risikoens sandsynlighed og alvor for så vidt angår den registreredes rettigheder og frihedsrettigheder bør bestemmes med henvisning til behandlingens karakter, omfang, sammenhæng og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter indebærer en risiko eller en høj risiko.

(39)Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sikre, at denne forordnings krav er opfyldt. For at kunne påvise overholdelse af denne forordning bør den dataansvarlige vedtage interne politikker og gennemføre foranstaltninger, som især lever op til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Sådanne foranstaltninger kan bl.a. bestå i minimering af behandlingen af personoplysninger, pseudonymisering af personoplysninger så hurtigt som muligt og gennemsigtighed for så vidt angår personoplysningers funktion og behandling, således at den registrerede kan føre tilsyn med databehandlingen, og den dataansvarlige kan tilvejebringe og forbedre sikkerhedselementer. Der bør også tages hensyn til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i forbindelse med offentlige udbud.

(40)Beskyttelse af registreredes rettigheder og frihedsrettigheder samt de dataansvarliges og databehandlernes ansvar og erstatningsansvar kræver en klar fordeling af ansvarsområderne i medfør af denne forordning, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandling sammen med andre dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig.

(41)Med henblik på at sikre overholdelse af kravene i denne forordning i forbindelse med behandling, der foretages af en databehandler på vegne af den dataansvarlige, når databehandleren overdrages behandlingsaktiviteter, bør den dataansvarlige udelukkende benytte sig af databehandlere, der giver tilstrækkelige garantier, navnlig i form af ekspertise, pålidelighed og ressourcer, for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i denne forordning, herunder med hensyn til behandlingssikkerhed. Databehandleres, bortset fra EU-institutioners og -organers, overholdelse af en godkendt adfærdskodeks eller en godkendt certificeringsmekanisme kan bruges som et element til at påvise, at den dataansvarlige overholder sine forpligtelser. Bestemmelserne om behandling ved en databehandler bør fastsættes i en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der binder databehandleren til den dataansvarlige, og hvori behandlingens genstand og varighed, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede er fastsat, idet der tages hensyn til databehandleres specifikke opgaver og ansvar i forbindelse med den behandling, der skal foretages, og risikoen for den registreredes rettigheder og frihedsrettigheder. Den dataansvarlige og databehandleren bør være i stand til at vælge at anvende en individuel kontrakt eller standardkontraktbestemmelser, der er vedtaget enten direkte af Kommissionen eller af Den Europæiske Tilsynsførende for Databeskyttelse og derefter vedtaget af Kommissionen. Databehandleren bør efter den dataansvarliges valg tilbagelevere eller slette de pågældende personoplysninger efter afslutning af den behandling, der er foretaget på vegne af den dataansvarlige, medmindre EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, indeholder et krav om opbevaring af disse personoplysninger.

(42)For at påvise overholdelse af denne forordning bør de dataansvarlige føre fortegnelser over behandlingsaktiviteter, der henhører under deres ansvar, og databehandlerne bør føre fortegnelser over de kategorier af behandlingsaktiviteter, der henhører under deres ansvar. Unionens institutioner og organer bør have pligt til at samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse og efter anmodning stille disse fortegnelser til rådighed for denne, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter. Unionens institutioner og organer bør kunne oprette en central fortegnelse over deres behandlingsaktiviteter. Af hensyn til gennemsigtigheden bør de også kunne offentliggøre en sådan fortegnelse.

(43)For at opretholde sikkerheden og hindre behandling i strid med denne forordning bør den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som f.eks. kryptering. Disse foranstaltninger bør under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret fremsendelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.

(44)Unionens institutioner og organer bør sikre fortroligheden af elektronisk kommunikation i overensstemmelse med artikel 7 i chartret. Unionens institutioner og organer bør navnlig garantere sikkerheden i forbindelse med deres elektroniske kommunikationsnetværk, beskytte oplysninger vedrørende slutbrugere af terminaludstyr med adgang til offentligt tilgængelige websteder og mobilapplikationer i overensstemmelse med forordning (EU) XXXX/XX [ny e-databeskyttelsesforordning] og beskytte brugernes personoplysninger i brugerfortegnelser.

(45) Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade. Så snart den dataansvarlige bliver bekendt med, at der er sket et brud på persondatasikkerheden, bør vedkommende derfor anmelde bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Datasikkerhed uden unødig forsinkelse og om muligt senest 72 timer efter, at denne er blevet bekendt med det, medmindre den dataansvarlige i overensstemmelse med ansvarlighedsprincippet kan påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko for fysiske personers rettigheder eller frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden for 72 timer, bør den ledsages af en begrundelse for forsinkelsen, og oplysningerne kan indgives trinvis uden unødig yderligere forsinkelse. Hvis en sådan forsinkelse er berettiget, bør mindre følsomme eller mindre specifikke oplysninger om bruddet offentliggøres snarest muligt, frem for at vente med at foretage anmeldelse, indtil den underliggende hændelse er løst fuldt og helt.

(46)Den dataansvarlige bør underrette den registrerede om et brud på persondatasikkerheden uden unødig forsinkelse, når dette brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for den fysiske persons rettigheder og frihedsrettigheder, med henblik på at give vedkommende mulighed for at træffe de fornødne forholdsregler. Underretningen bør beskrive karakteren af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte fysiske person med henblik på at begrænse de mulige skadevirkninger. Sådanne underretninger til registrerede bør gives, så snart det med rimelighed er muligt, og i tæt samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse i overensstemmelse med retningslinjer, der er udstukket af denne eller af andre relevante myndigheder, såsom retshåndhævende myndigheder.

(47)Forordning (EF) nr. 45/2001 pålægger den dataansvarlige en generel forpligtelse til at anmelde behandlingen af personoplysninger til databeskyttelsesrådgiveren, der til gengæld fører en fortegnelse over anmeldte behandlingsaktiviteter. Denne forpligtelse medførte en administrativ og finansiel byrde, men den bidrog ikke i alle tilfælde til at forbedre beskyttelsen af personoplysninger. En sådan vilkårlig og generel anmeldelsespligt bør derfor afskaffes og erstattes med effektive procedurer og mekanismer, som i stedet fokuserer på de typer behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som følge af deres karakter, omfang, sammenhæng og formål. Sådanne typer behandlingsaktiviteter kunne være aktiviteter, der navnlig indebærer brug af ny teknologi, eller en ny form for aktiviteter, hvor den dataansvarlige endnu ikke har foretaget en konsekvensanalyse vedrørende databeskyttelse, eller som er blevet nødvendige på grund af den tid, der er gået siden den oprindelige behandling. I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning.

(48)Såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses gennem rimelige midler for så vidt angår tilgængelig teknologi og gennemførelsesomkostninger, bør Den Europæiske Tilsynsførende for Databeskyttelse høres inden indledning af behandlingsaktiviteterne. En sådan høj risiko vil sandsynligvis være en følge af visse typer behandling og omfanget og hyppigheden af behandlingen, der også kunne føre til skade for eller indgreb i fysiske personers rettigheder og frihedsrettigheder. Den Europæiske Tilsynsførende for Databeskyttelse bør reagere på en høringsanmodning inden for et fastsat tidsrum. Den Europæiske Tilsynsførende for Databeskyttelses manglende reaktion inden for dette tidsrum bør dog ikke berøre Den Europæiske Tilsynsførende for Databeskyttelses mulighed for at gribe ind i overensstemmelse med dens opgaver og beføjelser i henhold til denne forordning, herunder beføjelsen til at forbyde behandlingsaktiviteter. Som led i denne høringsproces bør det være muligt at forelægge resultatet af en konsekvensanalyse vedrørende databeskyttelse, der foretages for den pågældende behandling, for Den Europæiske Tilsynsførende for Databeskyttelse, navnlig de foranstaltninger, der påtænkes for at begrænse risikoen for fysiske personers rettigheder og frihedsrettigheder.

(49)Den Europæiske Tilsynsførende for Databeskyttelse bør underrettes om administrative foranstaltninger og interne regler i Unionens institutioner og organer, der muliggør behandlingen af personoplysninger, fastsætter betingelser for begrænsninger af den registreredes rettigheder eller tilvejebringer passende garantier for den registreredes rettigheder, for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og navnlig for at begrænse risiciene for den registrerede.

(50)Med forordning (EU) 2016/679 blev Det Europæiske Databeskyttelsesråd oprettet som et uafhængigt EU-organ med status som juridisk person. Databeskyttelsesrådet bør bidrage til en konsekvent anvendelse af forordning (EU) 2016/679 og direktiv 2016/680 i hele Unionen, herunder ved at rådgive Kommissionen. Samtidig bør Den Europæiske Tilsynsførende for Databeskyttelse fortsat udføre sine tilsyns- og rådgivningsfunktioner over for alle Unionens institutioner og organer, herunder på eget initiativ eller efter anmodning. Med henblik på at sikre sammenhæng mellem databeskyttelsesreglerne i hele Unionen bør det være obligatorisk at høre Kommissionen efter vedtagelsen af lovgivningsmæssige retsakter eller under udarbejdelsen af delegerede retsakter og gennemførelsesretsakter som omhandlet i artikel 289, 290 og 291 i TEUF og efter vedtagelsen af henstillinger og forslag vedrørende aftaler med tredjelande og internationale organisationer som omhandlet i artikel 218 i TEUF, der har konsekvenser for retten til beskyttelse af personoplysninger. I sådanne tilfælde bør Kommissionen have pligt til at høre Den Europæiske Tilsynsførende for Databeskyttelse, undtagen når forordning (EU) 2016/679 foreskriver obligatorisk høring af Det Europæiske Databeskyttelsesråd, f.eks. om afgørelser om tilstrækkeligt beskyttelsesniveau eller delegerede retsakter om standardiserede ikoner og krav til certificeringsmekanismer. Når den pågældende retsakt har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, bør Kommissionen derudover have mulighed for at høre Det Europæiske Databeskyttelsesråd. I disse tilfælde bør Den Europæiske Tilsynsførende for Databeskyttelse som medlem af Det Europæiske Databeskyttelsesråd koordinere sit arbejde med sidstnævnte med henblik på at afgive en fælles udtalelse. Den Europæiske Tilsynsførende for Databeskyttelse og, hvor det er hensigtsmæssigt, Det Europæiske Databeskyttelsesråd bør yde sin skriftlige rådgivning inden seks uger. Denne tidsramme bør være kortere i hastende tilfælde, eller når det på anden vis er hensigtsmæssigt, f.eks. når Kommissionen udarbejder delegerede retsakter og gennemførelsesretsakter.

(51)I hver EU-institution eller hvert EU-organ bør en databeskyttelsesrådgiver sikre, at bestemmelserne i denne forordning finder anvendelse, og bør rådgive de dataansvarlige og databehandlerne under opfyldelsen af deres forpligtelser. Denne rådgiver børe være en person med ekspertviden om databeskyttelseslovgivning og -praksis, der navnlig bør fastlægges i forhold til de databehandlingsaktiviteter, der foretages, og den beskyttelse, der kræves for de personoplysninger, som den dataansvarlige eller databehandleren behandler. Sådanne databeskyttelsesrådgivere bør være i stand til at udøve deres hverv på uafhængig vis.

(52)Når personoplysninger overføres fra Unionens institutioner og organer til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, må det beskyttelsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, dog ikke undermineres, herunder i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden international organisation. Overførsel til tredjelande og internationale organisationer må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning. En overførsel vil kun kunne finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de øvrige bestemmelser i denne forordning.

(53)Kommissionen kan i henhold til artikel 45 i forordning (EU) 2016/679 beslutte, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation sikrer et tilstrækkeligt databeskyttelsesniveau. I sådanne tilfælde kan personoplysninger overføres til det pågældende tredjeland eller den pågældende internationale organisation af en EU-institution eller et EU-organ uden yderligere godkendelse.

(54)I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet bør den dataansvarlige eller databehandleren træffe foranstaltninger for at kompensere for den manglende databeskyttelse i et tredjeland i form af fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå i anvendelse af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en Den Europæiske Tilsynsførende for Databeskyttelse eller kontraktbestemmelser godkendt af Den Europæiske Tilsynsførende for Databeskyttelse. Når databehandleren ikke er en EU-institution eller et EU-organ, kan disse fornødne garantier også bestå i bindende virksomhedsregler, adfærdskodekser og certificeringsmekanismer, der anvendes til internationale overførsler i henhold til forordning (EU) 2016/679. Disse garantier bør sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen, herunder tilgængelighed af rettigheder, som kan håndhæves, for registrerede og effektive retsmidler, herunder til at opnå effektiv administrativ eller retslig prøvelse og til at kræve erstatning, i Unionen eller et tredjeland. Garantierne bør navnlig vedrøre overholdelse af de generelle principper for behandling af personoplysninger og principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Overførsler kan også foretages af Unionens institutioner eller organer til offentlige myndigheder eller organer i tredjelande eller til internationale organisationer med tilsvarende opgaver eller funktioner, herunder på grundlag af bestemmelser, der medtages i administrative ordninger, f.eks. et aftalememorandum, hvorved de registrerede sikres effektive rettigheder, som kan håndhæves. Godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse bør indhentes, når garantierne indgår i administrative ordninger, der ikke er juridisk bindende.

(55)Den dataansvarliges eller databehandlerens mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen eller Den Europæiske Tilsynsførende for Databeskyttelse bør hverken udelukke muligheden for, at den dataansvarlige eller databehandleren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt, såsom en kontrakt mellem databehandleren og en anden databehandler, eller medtager andre bestemmelser eller yderligere garantier, såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Dataansvarlige og databehandlere bør tilskyndes til at give yderligere garantier gennem kontraktmæssige forpligtelser, der supplerer standardbestemmelserne om databeskyttelse.

(56)Visse tredjelande vedtager love, forskrifter og andre retsakter med det formål direkte at regulere behandlingsaktiviteter, som udføres af Unionens institutioner og organer. Dette kan omfatte retsafgørelser eller administrative myndigheders afgørelser i tredjelande, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, og som ikke er baseret på en gældende international aftale mellem det anmodende tredjeland og Unionen. Ekstraterritorial anvendelse af sådanne love, forskrifter og andre retsakter kan være i strid med folkeretten og hindre opnåelse af den beskyttelse af fysiske personer, der sikres i Unionen ved denne forordning. Overførsel af oplysninger bør kun tillades, hvis denne forordnings betingelser for overførsel til tredjelande er opfyldt. Det kan være tilfældet, bl.a. hvis videregivelse er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten.

(57)Der bør i specifikke situationer åbnes mulighed for overførsel, når den registrerede har givet sit udtrykkelige samtykke, og hvor overførsel er lejlighedsvis og nødvendig i forbindelse med en kontrakt eller et retskrav, uanset om det sker i forbindelse med en retssag eller en administrativ eller udenretslig procedure, herunder procedurer ved reguleringsorganer. Overførsel bør også tillades, når vigtige samfundsinteresser i henhold til EU-retten kræver det, eller når overførsel sker fra et register, der er oprettet ved lov, og som er tilgængeligt for offentligheden eller personer med en legitim interesse. I sidstnævnte tilfælde bør sådan overførsel ikke omfatte alle personoplysningerne eller alle kategorier af oplysninger i registeret, medmindre det er tilladt ifølge EU-retten, og når registeret er beregnet til at blive konsulteret af personer, der har en legitim interesse, bør overførsel under fuld hensyntagen til den registreredes interesser og grundlæggende rettigheder kun ske på anmodning af disse personer, eller hvis de skal være modtagere.

(58)Disse undtagelser bør navnlig gælde for overførsel af oplysninger, der foretages af hensyn til vigtige samfundsinteresser, f.eks. international udveksling af oplysninger mellem Unionens institutioner og organer og konkurrencemyndigheder, skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder eller social- og sundhedsmyndigheder, f.eks. i tilfælde af kontaktopsporing i forbindelse med smitsomme sygdomme eller for at nedbringe og/eller afskaffe doping inden for sport. Overførsel af personoplysninger, der er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden persons vitale interesser, herunder fysisk integritet eller liv, bør ligeledes anses for lovlig, hvis den registrerede er ude af stand til at give sit samtykke. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet kan EU-retten af hensyn til vigtige samfundsinteresser udtrykkelig fastsætte grænser for overførsel af særlige kategorier af oplysninger til et tredjeland eller en international organisation. Enhver overførsel til en international humanitær organisation af personoplysninger om en registreret, der ikke fysisk eller juridisk er i stand til at give sit samtykke, med henblik på udførelse af en opgave i henhold til Genèvekonventionerne eller for at overholde international humanitær ret, som finder anvendelse i væbnede konflikter, kan anses for at være nødvendig af hensyn til vigtige samfundsinteresser, eller fordi det er af vital interesse for den registrerede.

(59)Hvis Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den dataansvarlige eller databehandleren under alle omstændigheder benytte løsninger, der giver de registrerede effektive rettigheder, som kan håndhæves, hvad angår behandlingen af deres personoplysninger i Unionen, når disse oplysninger er blevet overført, så de fortsat vil nyde godt af grundlæggende rettigheder og garantier.

(60)Når personoplysninger overføres på tværs af grænser uden for Unionen, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig kan tilsynsmyndighederne i Unionen, herunder Den Europæiske Tilsynsførende for Databeskyttelse, være ude af stand til at følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres jurisdiktion. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hindringer som f.eks. ressourcebegrænsninger. Derfor bør et tættere samarbejde mellem Den Europæiske Tilsynsførende for Databeskyttelse og andre datatilsynsmyndigheder fremmes for at forbedre udvekslingen af oplysninger med deres internationale ligestillede.

(61)Den ved forordning (EF) nr. 45/2001 fastsatte oprettelse af Den Europæiske Tilsynsførende for Databeskyttelse, der har beføjelser til at udføre sine opgaver og udøve sine beføjelser i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Denne forordning bør yderligere styrke og præcisere dens rolle og uafhængighed.

(62)For at sikre ensartet tilsyn med og håndhævelse af databeskyttelsesreglerne i hele Unionen bør Den Europæiske Tilsynsførende for Databeskyttelse have de samme opgaver og effektive beføjelser som tilsynsmyndighederne i medlemsstaterne, herunder undersøgelsesbeføjelser og beføjelser til at fastsætte korrigerende foranstaltninger og sanktioner samt godkendelses- og rådgivningsbeføjelser, navnlig i tilfælde af klager fra fysiske personer, og til at indbringe overtrædelser af denne forordning for Den Europæiske Unions Domstol og deltage i retssager i overensstemmelse med den primære ret. Disse beføjelser bør også omfatte beføjelse til midlertidigt eller definitivt at begrænse, herunder forbyde, behandling. For at undgå overflødige omkostninger og urimelige ulemper for de pågældende personer, der kunne blive berørt negativt, bør hver foranstaltning, som træffes af Den Europæiske Tilsynsførende for Databeskyttelse, være passende, nødvendig og forholdsmæssig for at sikre overholdelsen af denne forordning, tage hensyn til omstændighederne i hver enkelt sag og respektere enhver persons ret til at blive hørt, inden der træffes en individuel foranstaltning. Hver juridisk bindende foranstaltning, der træffes af Den Europæiske Tilsynsførende for Databeskyttelse, bør være skriftlig, klar og utvetydig, angive datoen for iværksættelsen af foranstaltningen, være underskrevet af Den Europæiske Tilsynsførende for Databeskyttelse, angive begrundelsen for foranstaltningen og indeholde en henvisning til adgang til effektive retsmidler.

(63)Afgørelser truffet af Den Europæiske Tilsynsførende for Databeskyttelse vedrørende undtagelser fra, garantier for, godkendelse af eller betingelser for behandling af personoplysninger, således som de er defineret i denne forordning, bør offentliggøres i årsberetningen. Uafhængigt af offentliggørelsen af årsberetningen kan Den Europæiske Tilsynsførende for Databeskyttelse offentliggøre rapporter om specifikke emner.

(64)De nationale tilsynsmyndigheder fører tilsyn med anvendelsen af forordning (EU) 2016/679 og bidrager til ensartet anvendelse heraf i hele Unionen for at beskytte fysiske personer i forbindelse med behandling af deres personoplysninger og lette fri udveksling af personoplysninger inden for indre marked. For at skabe mere ensartethed i anvendelsen af de gældende databeskyttelsesregler i medlemsstaterne og de databeskyttelsesregler, der gælder for Unionens institutioner og organer, bør Den Europæiske Tilsynsførende for Databeskyttelse samarbejde effektivt med de nationale tilsynsmyndigheder.

(65)Under visse omstændigheder omfatter EU-retten en model for koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder. Den Europæiske Tilsynsførende for Databeskyttelse er endvidere tilsynsmyndighed for Europol, og der udarbejdes en særlig model for samarbejde med de nationale tilsynsmyndigheder gennem et samarbejdsråd med rådgivende funktion. For at forbedre det effektive tilsyn med og den effektive håndhævelse af væsentlige databeskyttelsesregler bør der indføres en fælles, sammenhængende model for koordineret tilsyn i Unionen. Kommissionen bør derfor, hvor det er hensigtsmæssigt, fremsætte lovgivningsforslag med henblik på at ændre de EU-retsakter, der indeholder en model for koordineret tilsyn, for at tilpasse dem til den koordinerede tilsynsmodel i denne forordning. Det Europæiske Databeskyttelsesråd bør fungere som et fælles forum for sikring af det effektive koordinerede tilsyn over en bred front.

(66)Enhver registreret bør have ret til at indgive klage til Den Europæiske Tilsynsførende for Databeskyttelse og have adgang til effektive retsmidler ved Den Europæiske Unions Domstol i overensstemmelse med traktaterne, hvis den registrerede finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, eller hvis Den Europæiske Tilsynsførende for Databeskyttelse ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. Undersøgelse af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde, med forbehold af domstolsprøvelse. Den Europæiske Tilsynsførende for Databeskyttelse bør underrette den registrerede om behandlingen og resultatet af klagen inden en rimelig frist. Hvis sagen kræver yderligere koordinering med en national tilsynsmyndighed, bør den registrerede undervejs underrettes herom. For at lette indgivelsen af klager bør Den Europæiske Tilsynsførende for Databeskyttelse træffe foranstaltninger såsom at tilbyde en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

(67)Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, bør have ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren på de betingelser, der er fastsat i traktaten.

(68)For at styrke Den Europæiske Tilsynsførende for Databeskyttelses tilsynsrolle og den effektive håndhævelse af denne forordning bør Den Europæiske Tilsynsførende for Databeskyttelse som en sanktion, der kan anvendes som sidste udvej, have beføjelse til at pålægge administrative bøder. Bøderne bør have til formål at pålægge institutionen eller organet – og ikke fysiske personer – sanktioner for manglende overholdelse af denne forordning med henblik på at forebygge fremtidige overtrædelser af denne forordning og fremme en persondatabeskyttelseskultur i Unionens institutioner og organer. Denne forordning bør angive overtrædelser og maksimumsbeløb og kriterier for fastsættelse af de tilknyttede administrative bøder. Den Europæiske Tilsynsførende for Databeskyttelse bør fastsætte størrelsen af bøderne i hvert enkelt tilfælde under hensyntagen til alle relevante omstændigheder i den specifikke situation og med behørig hensyntagen til karakteren, alvoren og varigheden af overtrædelsen og dens konsekvenser og de foranstaltninger, der er truffet for at sikre overholdelse af forpligtelserne i henhold til denne forordning og for at forebygge eller begrænse følgerne af overtrædelsen. Når et EU-organ pålægges en administrativ bøde, bør Den Europæiske Tilsynsførende for Databeskyttelse overveje, om bødens størrelse står i et rimeligt forhold til overtrædelsen. Den administrative procedure for at pålægge Unionens institutioner og organer bøder bør overholde Unionens generelle principper som fortolket af Den Europæiske Unions Domstol.

(69)Hvis en registreret finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, bør den pågældende have ret til at give et organ, en organisation eller en sammenslutning, der ikke arbejder med gevinst for øje, som er etableret i overensstemmelse med EU-retten eller en medlemsstats ret, og hvis vedtægtsmæssige formål er i samfundets interesse, og som beskæftiger sig med beskyttelse af personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse. Et sådant organ eller en sådan sammenslutning bør også kunne udøve retten til adgang til retsmidler eller retten til erstatning på registreredes vegne.

(70)Der kan iværksættes disciplinære sanktioner over for en tjenestemand eller anden ansat i Unionen, som undlader at opfylde forpligtelserne i denne forordning i overensstemmelse med de regler og procedurer, der er fastlagt i vedtægten for tjenestemænd i Den Europæiske Union og ansættelsesvilkårene for Unionens øvrige ansatte.

(71)For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser, når dette er fastsat i denne forordning. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 16 . Undersøgelsesproceduren bør anvendes med henblik på vedtagelse af standardkontraktbestemmelser mellem dataansvarlige og databehandlere og mellem dataansvarlige indbyrdes med henblik på vedtagelse af listen over behandlingsaktiviteter, når der kræves forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse for databehandlere, der behandler personoplysninger som led i udførelsen af opgaver i samfundets interesse, og med henblik på vedtagelse af standardkontraktbestemmelser, der giver passende garantier for internationale overførsler.

(72)De fortrolige oplysninger, som Unionen og de nationale statistikmyndigheder indsamler til udarbejdelse af officielle europæiske og officielle nationale statistikker, bør beskyttes. Europæiske statistikker bør udvikles, udarbejdes og formidles i overensstemmelse med de statistiske principper, der er omhandlet i artikel 338, stk. 2, i TEUF. Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 17 indeholder yderligere præciseringer om statistisk fortrolighed for europæiske statistikker.

(73)Forordning (EF) nr. 45/2001 og direktiv nr. 1247/2002/EF bør ophæves. Henvisninger til den ophævede forordning og det ophævede direktiv bør betragtes som henvisninger til nærværende forordning.

(74)For at sikre, at medlemmerne af den uafhængige tilsynsmyndighed er helt uafhængige, bør embedsperioden for Den Europæiske Tilsynsførende for Databehandling og den nuværende assisterende tilsynsførende ikke berøres af denne forordning. Den nuværende assisterende tilsynsførende bør forblive i sin stilling indtil udløbet af sin mandatperiode, medmindre en af betingelserne for førtidig afslutning af embedsperioden for Den Europæiske Tilsynsførende for Databeskyttelse i denne forordning er opfyldt. De relevante bestemmelser bør finde anvendelse på den assisterende tilsynsførende indtil udløbet af vedkommendes embedsperiode.

(75)I overensstemmelse med proportionalitetsprincippet er det med henblik på at nå de grundlæggende mål om at sikre et ensartet niveau for beskyttelse af fysiske personer og fri udveksling af personoplysninger i hele Unionen nødvendigt og hensigtsmæssigt at fastsætte regler for behandlingen af personoplysninger i Unionens institutioner, organer, kontorer og agenturer. Denne forordning går ikke videre, end hvad der er nødvendigt for at nå de tilstræbte mål i overensstemmelse med artikel 5, stk. 4, i traktaten om Den Europæiske Union.

(76)Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001, og afgav udtalelse den XX/XX/XXXX —

VEDTAGET DENNE FORORDNING:

KAPITEL I

ALMINDELIGE BESTEMMELSER

Artikel 1

Genstand og formål

1.I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og regler om fri udveksling af personoplysninger mellem disse og om modtagere, der er etableret i Unionen og underlagt forordning (EU) 2016/679 18 eller bestemmelser i national lovgivning, som er vedtaget i medfør af direktiv (EU) 2016/680 19 .

2.Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

3.Den Europæiske Tilsynsførende for Databeskyttelse ("EDPS") fører tilsyn med anvendelsen af bestemmelserne i denne forordning på alle behandlingsaktiviteter, der udføres af en EU-institution eller et EU-organ.

Artikel 2

Anvendelsesområde

1.Denne forordning finder anvendelse på behandling af personoplysninger i alle Unionens institutioner og organer, i det omfang denne behandling udføres som led i udførelsen af aktiviteter, der helt eller delvis henhører under EU-rettens anvendelsesområde.

2.Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Artikel 3

Definitioner

1.I denne forordning anvendes følgende definitioner:

a)definitionerne i forordning (EF) 2016/679 bortset fra definitionen af "dataansvarlig" i artikel 4, nr. 7), i denne forordning

b) definitionen af "elektronisk kommunikation" i artikel 4, stk. 2, litra a), i forordning (EU) XX/XXXX [e-databeskyttelsesforordningen];

c) definitionerne af "elektroniske kommunikationsnetværk" og "slutbruger" i henholdsvis nr. 1) og 14) i artikel 2 i direktiv 00/0000/EU [direktivet om en europæisk kodeks for elektronisk kommunikation]

d) definitionen af "terminaludstyr" i artikel 1, nr. 1), i Kommissionens direktiv 2008/63/EF 20 .

2.Endvidere forstås i denne forordning ved:

a)"Unionens institutioner og organer": Unionens institutioner, organer, kontorer og agenturer, der er oprettet ved eller på grundlag af traktaten om Den Europæiske Union, traktaten om Den Europæiske Unions funktionsmåde eller Euratomtraktaten

b)"dataansvarlig": den EU-institution, det EU-organ, EU-kontor eller EU-agentur eller det generaldirektorat eller enhver anden organisatorisk enhed, som alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene med og hjælpemidlerne til behandlingen er fastlagt i EU-retten, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastlægges i EU-retten

c)"bruger": en fysisk person, der anvender et netværk eller terminaludstyr, som drives under tilsyn af en EU-institution eller et EU-organ

d)"fortegnelse": en offentligt tilgængelig fortegnelse over brugere eller en intern fortegnelse over brugere, der er til rådighed i en EU-institution eller et EU-organ, eller som deles mellem EU-institutionerne og -organerne, enten i trykt eller elektronisk form.

KAPITEL II

PRINCIPPER

Artikel 4

Principper for behandling af personoplysninger

1.Personoplysninger skal:

a)behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede ("lovlighed, rimelighed og gennemsigtighed")

b)indsamles til udtrykkeligt angivne og legitime formål og ikke behandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 13 anses ikke for at være uforenelig med de oprindelige formål ("formålsbegrænsning")

c)være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles ("dataminimering")

d)være korrekte og om nødvendigt ajourførte. Der skal tages ethvert rimeligt skridt til at sikre, at oplysninger, der er ukorrekte eller ufuldstændige i forhold til de formål, hvortil de indsamles, eller i forbindelse med hvilke de viderebehandles, slettes eller berigtiges omgående ("rigtighed")

e)opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles. Personoplysninger kan opbevares i et længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 13, under forudsætning af, at der gennemføres passende tekniske og organisatoriske foranstaltninger, som kræves i denne forordning for at sikre den registreredes rettigheder og frihedsrettigheder ("opbevaringsbegrænsning")

f)behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger ("integritet og fortrolighed").

2.Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes ("ansvarlighed").

Artikel 5

Lovligheden af behandlingen

1.Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a)Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, som er baseret på eller henhører under offentlig myndighedsudøvelse, som EU-institutionen eller -organet har fået pålagt.

b)Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

c)Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

d)Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

e)Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

2.De i stk. 1, litra a), omhandlede opgaver fastsættes i EU-retten.

Artikel 6

Behandling til et andet foreneligt formål

Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 25, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:

a)enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling

b)den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige

c)personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 10, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 11

d)den påtænkte viderebehandlings mulige konsekvenser for de registrerede

e)tilstedeværelsen af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.

Artikel 7

Betingelser for samtykke

1.Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

2.Hvis den registreredes samtykke gives i form af en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.

3.Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede underrettes om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

4.Ved vurderingen af, om samtykke er givet frit, tages der bl.a. størst muligt hensyn til, om opfyldelsen af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.

Artikel 8

Betingelser for et barns samtykke i forbindelse med informationssamfundstjenester

1.Hvis artikel 5, stk. 1, litra d), finder anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år. Er barnet under 13 år, er sådan behandling kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

2.Under hensyntagen til den tilgængelige teknologi skal den dataansvarlige gøre sig rimelige bestræbelser på i sådanne tilfælde at kontrollere, at indehaveren af forældremyndigheden over barnet har givet eller godkendt samtykket.

3.Stk. 1 berører ikke medlemsstaternes generelle aftaleret, som f.eks. bestemmelser om gyldighed, indgåelse eller virkning af en kontrakt, når der er tale om et barn.

Artikel 9

Fremsendelse af personoplysninger til andre modtagere end Unionens institutioner og organer, der er etableret i Unionen og underlagt forordning (EU) 2016/679 eller direktiv (EU) 2016/680

1.Medmindre andet er er bestemt i artikel 4, 5, 6 og 10, fremsendes personoplysninger kun til modtagere, der er etableret i Unionen og underlagt forordning (EU) 2016/679 eller national lovgivning, som er vedtaget i medfør af direktiv (EU) 2016/680, hvis modtageren godtgør:

a)at oplysningerne er nødvendige af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, eller

b)at fremsendelsen af oplysningerne er nødvendig og står i et rimeligt forhold til formålene med fremsendelsen, og der ikke er grund til at formode, at det vil skade den registreredes rettigheder og legitime interesser.

2.Hvis fremsendelsen efter denne artikel finder sted på den dataansvarliges initiativ, påviser den dataansvarlige, at fremsendelsen af personoplysninger er nødvendig og står i et rimeligt forhold til formålene med fremsendelsen, på grundlag af kriterierne i stk. 1, litra a) eller b).

Artikel 10

Behandling af særlige kategorier af personoplysninger

1.Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2.Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

a)Den registrerede har givet udtrykkeligt samtykke til behandling af disse oplysninger til et eller flere specifikke formål, medmindre det i EU-retten er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves med den registreredes samtykke, eller

b)behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser, eller

c)behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke

d)behandling foretages af et organ, der ikke arbejder med gevinst for øje, og som udgør en enhed, der er integreret i en EU-institution eller et EU-organ, og hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører medlemmer eller tidligere medlemmer af dette organ eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives uden for organet uden den registreredes samtykke

e)behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede

f)behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når Den Europæiske Unions Domstol handler under udførelsen af sine judicielle opgaver, eller

g)behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser

h)behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3

i)behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt

j)behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål på grundlag af EU-retten og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

3.Personoplysninger som omhandlet i stk. 1 kan behandles til de formål, der er omhandlet i stk. 2, litra h), hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten, eller under en sådan persons ansvar.

Artikel 11

Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser

Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger i henhold til artikel 5, stk. 1, kan kun foretages med hjemmel i EU-retten, der kan omfatte interne regler, med passende garantier for registreredes rettigheder og frihedsrettigheder.

Artikel 12

Behandling, der ikke kræver identifikation

1.Hvis formålene med en dataansvarligs behandling af personoplysninger ikke kræver eller ikke længere kræver, at den registrerede kan identificeres af den dataansvarlige, er den dataansvarlige ikke forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde denne forordning.

2.Hvis den dataansvarlige i de tilfælde, der er omhandlet i stk. 1 i denne forordning, kan påvise, at vedkommende ikke kan identificere den registrerede, underretter den dataansvarlige den registrerede herom, hvis det er muligt. I sådanne tilfælde finder artikel 17-22 ikke anvendelse, medmindre den registrerede for at udøve sine rettigheder i henhold til disse artikler giver yderligere oplysninger, der gør det muligt at identificere den pågældende.

Artikel 13

Garantier i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål

Behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal være underlagt fornødne garantier for registreredes rettigheder og frihedsrettigheder i overensstemmelse med denne forordning. Disse garantier skal sikre, at der er truffet tekniske og organisatoriske foranstaltninger, især for at sikre overholdelse af princippet om dataminimering. Disse foranstaltninger kan omfatte pseudonymisering, forudsat at disse formål kan opfyldes på denne måde. Når disse formål kan opfyldes ved viderebehandling, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, skal formålene opfyldes på denne måde.

KAPITEL III

DEN REGISTREREDES RETTIGHEDER

AFDELING 1

GENNEMSIGTIGHED OG NÆRMERE REGLER

Artikel 14

Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder

1.Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 15 og 16 og enhver meddelelse i henhold til artikel 17-24 og artikel 38 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet påvises med andre midler.

2.Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 17-24. I de tilfælde, der er omhandlet i artikel 12, stk. 2, må den dataansvarlige ikke afvise at efterkomme den registreredes anmodning om at udøve sine rettigheder i henhold til artikel 17-24, medmindre den dataansvarlige påviser, at vedkommende ikke er i stand til at identificere den registrerede.

3.Den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til artikel 17-24. Denne periode kan om nødvendigt forlænges med to måneder under hensyntagen til anmodningernes kompleksitet og antal. Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen. Hvis den registrerede indgiver en anmodning elektronisk, meddeles oplysningerne så vidt muligt elektronisk, medmindre den registrerede anmoder om andet.

4.Hvis den dataansvarlige ikke træffer foranstaltninger i anledning af den registreredes anmodning, underretter den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen den registrerede om årsagen hertil og om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse.

5.Oplysninger, der gives i henhold til artikel 15 og 16, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 17-24 og artikel 38, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige afvise at efterkomme anmodningen.

Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

6.Uden at det berører artikel 12 kan den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 17-23, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

7.De oplysninger, der skal gives til registrerede i henhold til artikel 15 og 16, kan gives sammen med standardiserede ikoner for at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letforståelig og letlæselig måde. Hvis ikonerne præsenteres elektronisk, skal de være maskinlæsbare.

8.Hvis Kommissionen vedtager delegerede retsakter i henhold til artikel 12, stk. 8, i forordning (EU) 2016/679, der fastlægger de oplysninger, som skal fremgå af ikonerne og procedurerne for tilvejebringelse af standardiserede ikoner, tilvejebringer Unionens institutioner og organer, hvor det er relevant, de oplysninger, der er omhandlet i artikel 15 og 16, sammen med sådanne standardiserede ikoner.

AFDELING 2

OPLYSNING OG INDSIGT I PERSONOPLYSNINGER

Artikel 15

Oplysningspligt ved indsamling af personoplysninger hos den registrerede

1.Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

a)identitet på og kontaktoplysninger for den dataansvarlige

b)kontaktoplysninger for databeskyttelsesrådgiveren

c)formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen

d)eventuelle modtagere eller kategorier af modtagere af personoplysningerne

e)hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 49, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

2.Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:

a)det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller, hvor det er relevant, retten til at gøre indsigelse mod behandling samt retten til dataportabilitet

c)når behandling er baseret på artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

d)retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

e)om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger

f)forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

3.Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.

4.Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne.

Artikel 16

Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede

1.Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:

a)identitet på og kontaktoplysninger for den dataansvarlige

b)kontaktoplysninger for databeskyttelsesrådgiveren

c)formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen

d)de berørte kategorier af personoplysninger

e)eventuelle modtagere eller kategorier af modtagere af personoplysningerne

f)hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 49, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

2.Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:

a)det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller, hvor det er relevant, retten til at gøre indsigelse mod behandling samt retten til dataportabilitet

c)når behandling er baseret på artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

d)retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

e)hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder

f)forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

3.Den dataansvarlige giver de oplysninger, der er omhandlet i stk. 1 og 2:

a)inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned under hensyn til de specifikke forhold, som personoplysningerne er behandlet under,

b)hvis personoplysningerne skal bruges til at kommunikere med den registrerede, senest på tidspunktet for den første kommunikation med den registrerede, eller

c)hvis personoplysningerne er bestemt til videregivelse til en anden modtager, senest når personoplysningerne videregives første gang.

4.Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.

5.Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:

a)den registrerede allerede er bekendt med oplysningerne

b)meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, eller i det omfang den forpligtelse, der er omhandlet i stk. 1 i nærværende artikel, sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling

c)indsamling eller videregivelse udtrykkeligt er fastsat i EU-retten, eller

d)personoplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til EU-retten.

Artikel 17

Den registreredes indsigtsret

1.Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

a)formålene med behandlingen

b)de berørte kategorier af personoplysninger

c)de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer

d)om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum

e)retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling

f)retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

g)enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede

h)forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

2.Hvis personoplysningerne overføres til et tredjeland eller en international organisation, har den registrerede ret til at blive underrettet om de fornødne garantier i medfør af artikel 49 i forbindelse med overførslen.

3.Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. Hvis den registrerede indgiver anmodningen elektronisk, og medmindre den registrerede anmoder om andet, udleveres oplysningerne i en almindeligt anvendt elektronisk form.

4.Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.

AFDELING 3

BERIGTIGELSE OG SLETNING

Artikel 18

Ret til berigtigelse

Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

Artikel 19

Ret til sletning ("retten til at blive glemt")

1.Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

a)Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.

b)Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.

c)Den registrerede gør indsigelse mod behandlingen i henhold til artikel 23, stk. 1, og der foreligger ikke legitime grunde til behandlingen.

d)Personoplysningerne er blevet behandlet ulovligt.

e)Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU-retten, som den dataansvarlige er underlagt.

f)Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester som omhandlet i artikel 8, stk. 1.

2.Hvis den dataansvarlige har offentliggjort personoplysningerne og i henhold til stk. 1 er forpligtet til at slette personoplysningerne, træffer den dataansvarlige under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, rimelige foranstaltninger, herunder tekniske foranstaltninger, til at underrette de dataansvarlige, som behandler personoplysningerne, om, at den registrerede har anmodet disse dataansvarlige om at slette alle link til eller kopier eller gengivelser af de pågældende personoplysninger.

3.Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

a)for at udøve retten til ytrings- og informationsfrihed

b)for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt

c)af hensyn til samfundsinteresser på folkesundhedsområdet i overensstemmelse med artikel 10, stk. 2, litra h) og i), samt artikel 10, stk. 3

d)til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, i det omfang den rettighed, der er omhandlet i stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling, eller

e)for at retskrav kan fastlægges, gøres gældende eller forsvares.

Artikel 20

Ret til begrænsning af behandling

1.Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgende forhold gør sig gældende:

a)rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte og fuldstændige

b)behandlingen af dem er ulovlig, og den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses

c)den dataansvarlige har ikke længere brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares

d)den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 23, stk. 1, i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.

2.Hvis behandling er blevet begrænset i medfør af stk. 1, må sådanne personoplysninger, bortset fra opbevaring, kun behandles med den registreredes samtykke eller med henblik på, at et retskrav kan fastlægges, gøres gældende eller forsvares eller for at beskytte en anden fysisk eller juridisk person eller af hensyn til Unionens eller en medlemsstats vigtige samfundsinteresser.

3.En registreret, der har opnået begrænsning af behandling i medfør af stk. 1, underrettes af den dataansvarlige, inden begrænsningen af behandlingen ophæves.

4.I automatiske registre begrænses behandling i princippet ved hjælp af tekniske hjælpemidler. Det forhold, at personoplysninger er begrænset, angives i registret på en sådan måde, at det klart fremgår, at de pågældende personoplysninger ikke må benyttes.

Artikel 21

Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

Den dataansvarlige underretter hver modtager, som personoplysningerne er videregivet til, om enhver berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, der er udført i henhold til artikel 18, artikel 19, stk. 1, og artikel 20, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt. Den dataansvarlige oplyser den registrerede om disse modtagere, hvis den registrerede anmoder herom. 

Artikel 22

Ret til dataportabilitet

1.Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at fremsende disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når:

a)behandlingen er baseret på samtykke, jf. artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), eller på en kontrakt, jf. artikel 5, stk. 1, litra c), og

b)behandlingen foretages automatisk.

2.Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få fremsendt personoplysningerne direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt.

3.Udøvelsen af den ret, der er omhandlet i stk. 1 i denne artikel, berører ikke artikel 19. Den nævnte ret finder ikke anvendelse på behandling, der er nødvendig for udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

4.Den ret, der er omhandlet i stk. 1, må ikke krænke andres rettigheder eller frihedsrettigheder.

AFDELING 4

RET TIL INDSIGELSE OG AUTOMATISKE INDIVIDUELLE AFGØRELSER

Artikel 23

Indsigelsesret

1.Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 5, stk. 1, litra a), herunder profilering baseret på denne bestemmelse. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

2.Senest på tidspunktet for den første kommunikation med den registrerede skal denne udtrykkeligt gøres opmærksom på den ret, der er omhandlet i stk. 1, og oplysninger herom skal meddeles klart og adskilt fra alle andre oplysninger.

3.I forbindelse med anvendelse af informationssamfundstjenester kan den registrerede udøve sin ret til indsigelse gennem automatiske midler ved brug af tekniske specifikationer, jf. dog artikel 34 og 35.

4.Hvis personoplysninger behandles med henblik på videnskabelige eller historiske forskningsformål eller statistiske formål, har den registrerede ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger vedrørende den pågældende, medmindre behandlingen er nødvendig for at udføre en opgave i samfundets interesse.

Artikel 24

Automatiske individuelle afgørelser, herunder profilering

1.Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis i betydelig grad påvirker den pågældende.

2.Stk. 1 finder ikke anvendelse, hvis afgørelsen:

a)er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige

b)er hjemlet i EU-retten, som også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser, eller

c)er baseret på den registreredes udtrykkelige samtykke.

3.I de tilfælde, der er omhandlet i stk. 2, litra a) og c), gennemfører den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at tilkendegive sine synspunkter og til at bestride afgørelsen.

4.De afgørelser, der er omhandlet i stk. 2, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 10, stk. 1, medmindre artikel 10, stk. 2, litra a) eller g), finder anvendelse, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

AFDELING 5

BEGRÆNSNINGER

Artikel 25

Begrænsninger

1.Retsakter vedtaget på grundlag af traktaterne eller, i spørgsmål vedrørende Unionens institutioner og organer, interne regler, som disse har fastsat, kan begrænse anvendelsen af artikel 14-22, 34 og 38 samt artikel 4, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 14-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

a)medlemsstaternes nationale sikkerhed, offentlige sikkerhed og forsvar

b)forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed

c)andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed

d)EU-institutionernes og -organernes interne sikkerhed, herunder deres elektroniske kommunikationsnetværk

e)beskyttelse af retsvæsenets uafhængighed og retssager

f)forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

g)kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-c)

h)beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder

i)håndhævelse af civilretlige krav.

2.Når en sådan begrænsning ikke er fastsat i en retsakt, der er vedtaget på grundlag af traktaterne eller en intern regel som omhandlet i stk. 1, kan Unionens institutioner og organer begrænse anvendelsen af artikel 14-22, 34 og 38 samt artikel 4, for så vidt dens bestemmelser svarer til de rettigheder og forpligtelser, der er fastsat i artikel 14-22, hvis en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder i forbindelse med en specifik behandlingsaktivitet og er nødvendig og forholdsmæssig i et demokratisk samfund af hensyn til et eller flere af de mål, som er omhandlet i stk. 1. Begrænsningen meddeles databeskyttelsesrådgiveren.

3.Når personoplysninger behandles til videnskabelige eller historiske forskningsformål eller til statistiske formål, kan EU-retten, der kan omfatte interne regler, fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 17, 18, 20 og 23, under iagttagelse af de betingelser og garantier, der er omhandlet i artikel 13, såfremt sådanne rettigheder sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

4.Når personoplysninger behandles til arkivformål i samfundets interesse, kan EU-retten, der kan omfatte interne regler, fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 17, 18, 20, 21, 22 og 23, under iagttagelse af de betingelser og garantier, der er omhandlet i artikel 13, såfremt sådanne rettigheder sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

5.De interne regler, der er omhandlet i stk. 1, 3 og 4, skal være tilstrækkeligt klare og præcise og offentliggøres på korrekt vis.

6.Hvis der pålægges en begrænsning som omhandlet i stk. 1 eller 2, underrettes den registrerede i overensstemmelse med EU-retten om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om sin ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse.

7.Hvis en begrænsning, der er pålagt i henhold til stk. 1 eller 2, påberåbes for at nægte den registrerede adgang til indsigt, underretter Den Europæiske Tilsynsførende for Databeskyttelse, når han undersøger klagen, kun den registrerede om, hvorvidt oplysningerne er behandlet korrekt, og, hvis dette ikke er tilfældet, hvorvidt de nødvendige korrektioner er foretaget.

8.Den bestemmelse om underretning, der er omhandlet i stk. 6 og 7 og i artikel 46, stk. 2, kan udsættes, udelades eller afvises, hvis den ville ophæve virkningen af den pålagte begrænsning, jf. stk. 1 eller 2.

KAPITEL IV

DATAANSVARLIG OG DATABEHANDLER

AFDELING 1

ALMINDELIGE FORPLIGTELSER

Artikel 26

Den dataansvarliges ansvar

1.Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2.Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.

Artikel 27

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

1.Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

2.Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder for den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

Artikel 28

Fælles dataansvarlige

1.Når en EU-institution eller et EU-organ sammen med en eller flere dataansvarlige, der eventuelt kan være EU-institutioner eller -organer, i fællesskab afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af deres databeskyttelsesforpligtelser, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 15 og 16, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. Der kan som led i ordningen udpeges et kontaktpunkt for registrerede.

2.Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de registrerede.

3.Den registrerede kan udøve sine rettigheder i medfør af denne forordning med hensyn til og over for en eller flere fælles dataansvarlige under hensyntagen til deres roller som fastlagt i betingelserne for den ordning, der er omhandlet i stk. 1.

Artikel 29

Databehandler

1.Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.

2.Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:

a)kun må behandle personoplysninger efter dokumenterede instrukser fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser

b)sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c)iværksætter alle foranstaltninger, som kræves i henhold til artikel 33

d)opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler

e)under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III

f)bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 33-40 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren

g)efter den dataansvarliges valg, sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne

h)stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

For så vidt angår litra h), underretter databehandleren omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

4.Gør en databehandler brug af en anden databehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige med hensyn til opfyldelsen af denne anden databehandlers forpligtelser.

5.Når en databehandler ikke er en EU-institution eller et EU-organ, kan denne databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40, stk. 5, i forordning (EU) 2016/679 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 i forordning (EU) 2016/679 bruges som et element til at påvise fornødne garantier som omhandlet i stk. 1 og 4 i nærværende artikel.

6.Uden at det berører en eventuel individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3 og 4 i denne artikel, helt eller delvis baseres på de standardkontraktbestemmelser, der er omhandlet i stk. 7 og 8 i denne artikel, herunder når de indgår i en certificering, der er meddelt den dataansvarlige bortset fra en EU-institution eller et EU-organ, jf. artikel 42 i forordning (EU) 2016/679.

7.Kommissionen kan fastsætte standardkontraktbestemmelser i de tilfælde, der er omhandlet i stk. 3 og 4 i denne artikel, og i overensstemmelse med den undersøgelsesprocedure, der er omhandlet i artikel 70, stk. 2.

8.Den Europæiske Tilsynsførende for Databeskyttelse kan vedtage standardkontraktbestemmelser i de tilfælde, der er omhandlet i stk. 3 og 4 i denne artikel.

9.Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3 og 4, skal foreligge skriftligt, herunder elektronisk.

10.Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling, uden at dette berører artikel 65 og 66.

Artikel 30

Behandling, der udføres for den dataansvarlige og databehandleren

Databehandleren og enhver anden person, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Artikel 31

Fortegnelser over behandlingsaktiviteter

1.Hver dataansvarlig fører fortegnelser over de behandlingsaktiviteter, der udføres under vedkommendes ansvar. Disse fortegnelser skal omfatte alle følgende oplysninger:

a)navn på og kontaktoplysninger for den dataansvarlige, databeskyttelsesrådgiveren og, hvis det er relevant, den fælles dataansvarlige

b)formålene med behandlingen

c)en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger

d)de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i medlemsstater, tredjelande eller internationale organisationer

e)hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og dokumentation for passende garantier

f)hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger

g)hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger som omhandlet i artikel 33.

2.Hver databehandler fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:

a)navn på og kontaktoplysninger for databehandleren eller databehandlerne, for hver dataansvarlig, på hvis vegne databehandleren handler, samt databeskyttelsesrådgiveren

b)de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige

c)hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og dokumentation for passende garantier

d)hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger som omhandlet i artikel 33.

3.De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.

4.Unionens institutioner og organer stiller fortegnelserne til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse efter anmodning. 

5.Unionens institutioner og organer kan beslutte at føre deres fortegnelser over behandlingsaktiviteter i et centralt register. I så fald kan de også beslutte at gøre registret offentligt tilgængeligt.

Artikel 32

Samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse

Unionens institutioner og organer samarbejder efter anmodning med Den Europæiske Tilsynsførende for Databeskyttelse om udførelsen dennes opgaver.

AFDELING 2

SIKKERHED I FORBINDELSE MED PERSONOPLYSNINGER OG FORTROLIGHED I FORBINDELSE MED ELEKTRONISK KOMMUNIKATION

Artikel 33

Sikkerhed i forbindelse med behandling

1.Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a., afhængigt af hvad der er relevant:

a)pseudonymisering og kryptering af personoplysninger

b)evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester

c)evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d)en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

2.Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet.

3.Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten.

Artikel 34

Fortrolighed i forbindelse med elektronisk kommunikation

Unionens institutioner og organer sikrer fortrolighed i forbindelse med elektronisk kommunikation, navnlig ved at sikre deres elektroniske kommunikationsnetværk.

Artikel 35

Beskyttelse af oplysninger om slutbrugeres terminaludstyr

Unionens institutioner og organer beskytter oplysninger vedrørende slutbrugeres terminaludstyr med adgang til offentligt tilgængelige websteder og mobilapplikationer i overensstemmelse med forordning (EU) XX/XXXX [ny e-databeskyttelsesforordning], særlig artikel 8.

Artikel 36

Brugerfortegnelser

1.Personoplysninger i brugerfortegnelser og adgangen til sådanne fortegnelser begrænses til det absolut nødvendige for fortegnelsens særlige formål.

2.Unionens institutioner og -organer træffer alle nødvendige foranstaltninger til at sikre, at personoplysningerne i disse fortegnelser, uanset om de er offentligt tilgængelige eller ej, ikke benyttes til direkte markedsføring.

Artikel 37

Anmeldelse af brud på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse

1.Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til Den Europæiske Tilsynsførende for Databeskyttelse ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

3.Den i stk. 1 omhandlede anmeldelse skal mindst:

a)beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne af og det omtrentlige antal berørte registreringer af personoplysninger

b)angive navn og kontaktoplysninger for den databeskyttelsesansvarlige

c)beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

d)beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

4.Når det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

5.Den dataansvarlige underretter databeskyttelsesrådgiveren om bruddet på persondatasikkerheden.

6.Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte Den Europæiske Tilsynsførende for Databeskyttelse i stand til at kontrollere, at denne artikel er overholdt.

Artikel 38

Underretning om brud på persondatasikkerheden til den registrerede

1.Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.Underretningen af den registrerede i henhold til stk. 1 i denne artikel skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 37, stk. 3, litra b), c) og d).

3.Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

a)den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering

b)den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel

c)det vil kræve en uforholdsmæssig stor indsats. I så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4.Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan Den Europæiske Tilsynsførende for Databeskyttelse efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

AFDELING 3

KONSEKVENSANALYSE VEDRØRENDE DATABESKYTTELSE OG FORUDGÅENDE HØRING

Artikel 39

Konsekvensanalyse vedrørende databeskyttelse

1.Hvis en type behandling, navnlig ved brug af nye teknologier, og som følge af dens karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

2.Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren, når der foretages en konsekvensanalyse vedrørende databeskyttelse.

3.En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde:

a)en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som danner grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis i betydelig grad påvirker den fysiske person

b)behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 10, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 11, eller

c) et systematisk tilsyn med et offentligt tilgængeligt område i stort omfang.

4.Den Europæiske Tilsynsførende for Databeskyttelse udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1.

5.Den Europæiske Tilsynsførende for Databeskyttelse kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse.

6.Analysen skal mindst omfatte:

a)en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen

b)en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene

c)en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og

d)de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

7.Der tages behørigt hensyn til, at de relevante dataansvarlige, bortset fra Unionens institutioner og organer, overholder godkendte adfærdskodekser, jf. artikel 40 i forordning (EU) 2016/679, ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udføres af de pågældende dataansvarlige, navnlig i forbindelse med en konsekvensanalyse vedrørende databeskyttelse. 

8.Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres repræsentanters synspunkter vedrørende den planlagte behandling, uden at det berører beskyttelse af samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed.

9.Hvis behandling i henhold til artikel 5, stk. 1, litra a) eller b), har hjemmel i en retsakt vedtaget på grundlag af EU-retten, der regulerer den eller de pågældende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrørende databeskyttelse som led i en generel konsekvensanalyse inden vedtagelsen af denne retsakt, finder stk. 1-6 ikke anvendelse, medmindre andet er fastsat i EU-retten.

10.Den dataansvarlige foretager, hvis det er nødvendigt, en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse, i det mindste når der sker en ændring af den risiko, som behandlingsaktiviteterne udgør.

Artikel 40

Forudgående høring

1.Den dataansvarlige hører Den Europæiske Tilsynsførende for Databeskyttelse inden behandlingen, såfremt en konsekvensanalyse vedrørende databeskyttelse efter artikel 39 viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses gennem rimelige midler for så vidt angår tilgængelig teknologi og gennemførelsesomkostninger. Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren om behovet for forudgående høring. 

2.Hvis Den Europæiske Tilsynsførende for Databeskyttelse finder, at den planlagte behandling som omhandlet i stk. 1 ville overtræde denne forordning, navnlig hvis den dataansvarlige ikke i tilstrækkelig grad har identificeret eller begrænset risikoen, giver Den Europæiske Tilsynsførende for Databeskyttelse inden for en periode på op til otte uger efter modtagelse af anmodningen om høring den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og kan i den forbindelse anvende enhver af sine beføjelser, jf. artikel 59. Denne periode kan forlænges med seks uger under hensyntagen til den påtænkte behandlings kompleksitet. Den Europæiske Tilsynsførende for Databeskyttelse underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen. Disse perioder kan suspenderes, indtil Den Europæiske Tilsynsførende for Databeskyttelse har modtaget de oplysninger, som denne har anmodet om med henblik på høringen.

3.Når Den Europæiske Tilsynsførende for Databeskyttelse skal høres, jf. stk. 1, oplyser den dataansvarlige følgende til Den Europæiske Tilsynsførende for Databeskyttelse:

a)hvor det er relevant, ansvarsområderne for henholdsvis den dataansvarlige, de fælles dataansvarlige og de databehandlere, der er involveret i behandlingen

b)den planlagte behandlings formål og hjælpemidler

c)foranstaltninger og garantier til beskyttelse af de registreredes rettigheder og frihedsrettigheder i henhold til denne forordning

d)kontaktoplysninger for databeskyttelsesrådgiveren

e)konsekvensanalysen vedrørende databeskyttelse som omhandlet i artikel 39, og

f)eventuelle andre oplysninger, som Den Europæiske Tilsynsførende for Databeskyttelse anmoder om.

4.Kommissionen kan ved hjælp af en gennemførelsesretsakt fastlægge en liste over tilfælde, hvor de dataansvarlige skal høre og indhente forudgående tilladelse fra Den Europæiske Tilsynsførende for Databeskyttelse i forbindelse med behandling som led i den dataansvarliges udførelse af en opgave i samfundets interesse, herunder behandling af sådanne oplysninger i sager vedrørende social sikring og folkesundhed.

AFDELING 4

UNDERRETNING OG HØRING SOM LED I LOVGIVNINGSPROCEDUREN

Artikel 41

Underretning

Unionens institutioner og -organer underretter Den Europæiske Tilsynsførende For Databeskyttelse om udarbejdelsen af administrative foranstaltninger og interne regler vedrørende behandling af personoplysninger, der involverer en EU-institution eller et EU-organ alene eller sammen med andre.

Artikel 42

Høring som led i lovgivningsproceduren

1.Efter vedtagelsen af forslag til en lovgivningsmæssig retsakt og af henstillinger eller forslag til Rådet i henhold til artikel 218 i TEUF og ved udarbejdelsen af delegerede retsakter eller gennemførelsesretsakter, der påvirker beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, hører Kommissionen Den Europæiske Tilsynsførende for Databeskyttelse.

2.Når en retsakt som omhandlet i stk. 1 har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, kan Kommissionen høre Det Europæiske Databeskyttelsesråd. I sådanne tilfælde bør Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd koordinere deres arbejde med henblik på at afgive en fælles udtalelse.

3.Den rådgivning, der er omhandlet i stk. 1 og 2, ydes skriftligt inden for en periode på op til otte uger efter modtagelse af anmodningen om høring, jf. stk. 1 og 2. Kommissionen kan afkorte fristen i hastende tilfælde, eller når det ellers er hensigtsmæssigt.

4.Denne artikel finder ikke anvendelse, når Kommissionen i medfør af forordning (EU) 2016/679 skal høre Det Europæiske Databeskyttelsesråd.

AFDELING 5

FORPLIGTELSE TIL AT TAGE STILLING TIL PÅSTÅEDE OVERTRÆDELSER

Artikel 43

Forpligtelse til at tage stilling til påståede overtrædelser

Når Den Europæiske Tilsynsførende for Databeskyttelse udøver de beføjelser, der er fastsat i artikel 59, stk. 2, litra a), b) og c), underretter den dataansvarlige eller databehandleren Den Europæiske Tilsynsførende for Databeskyttelse om sine synspunkter inden en rimelig frist, der skal angives af Den Europæiske Tilsynsførende for Databeskyttelse under hensyntagen til omstændighederne i hvert enkelt tilfælde. Svaret skal også omfatte en redegørelse for, hvilke foranstaltninger der i givet fald er truffet som reaktion på bemærkningerne fra Den Europæiske Tilsynsførende for Databeskyttelse.

AFDELING 6

DATABESKYTTELSESRÅDGIVER

Artikel 44

Udpegelse af databeskyttelsesrådgiveren

1.Hver EU-institution eller hvert EU-organ udpeger en databeskyttelsesrådgiver.

2.EU-institutionerne og -organerne kan udpege en fælles databeskyttelsesrådgiver for flere af dem under hensyntagen til deres organisatoriske struktur og størrelse.

3.Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 46.

4.Databeskyttelsesrådgiveren kan være en medarbejder i EU-institutionen eller EU-organet eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt.

5.EU-institutionerne og -organerne offentliggør kontaktoplysningerne for databeskyttelsesrådgiveren og meddeler disse til Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 45

Databeskyttelsesrådgiverens stilling

1.EU-institutionerne og -organerne sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2.EU-institutionerne og -organerne støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 46 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og få adgang til personoplysninger samt vedligeholde databeskyttelsesrådgiverens ekspertise.

3.EU-institutionerne og -organerne sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af sine opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til den dataansvarlige eller databehandleren på det højeste ledelsesniveau.

4.Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.

5.Databeskyttelsesrådgiveren og dennes personale er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten.

6.Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.

7.Databeskyttelsesrådgiveren kan uden om de officielle kanaler høres af den dataansvarlige og databehandleren samt enhver fysisk person om ethvert spørgsmål, der vedrører fortolkningen eller anvendelsen af denne forordning. Ingen må lide skade som følge af at have gjort den kompetente databeskyttelsesrådgiver opmærksom på en sag om påstået overtrædelse af bestemmelserne i denne forordning.

8.Databeskyttelsesrådgiveren udpeges for en periode på tre til fem år og kan genudnævnes. Databeskyttelsesrådgiveren kan kun med samtykke fra Den Europæiske Tilsynsførende for Databeskyttelse afskediges af den EU-institution eller det EU-organ, som har udnævnt vedkommende, hvis den pågældende ikke længere opfylder de krav, der stilles for udførelsen af sine opgaver.

9.Efter udpegelsen registreres databeskyttelsesrådgiveren af den EU-institution eller det EU-organ, der har udpeget vedkommende, hos Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 46

Databeskyttelsesrådgiverens opgaver

1.Databeskyttelsesrådgiveren har følgende opgaver:

a)at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og andre bestemmelser om databeskyttelse i EU-retten

b)på en uafhængig måde at sikre den interne anvendelse af denne forordning og føre tilsyn med overholdelsen heraf, af anden gældende EU-ret, der indeholder bestemmelser om databeskyttelse, og af den dataansvarliges eller databehandlerens politikker for beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

c)at sikre, at de registrerede underrettes om deres rettigheder og forpligtelser i medfør af denne forordning

d)på anmodning at rådgive om nødvendigheden af en anmeldelse eller underretning om brud på persondatabeskyttelsen, jf. artikel 37 og 38

e)på anmodning at rådgive om konsekvensanalysen vedrørende databeskyttelse og føre tilsyn med gennemførelsen heraf, jf. artikel 39, og høre Den Europæiske Tilsynsførende for Databeskyttelse i tilfælde af tvivl om nødvendigheden af en sådan konsekvensanalyse

f)på anmodning at rådgive om nødvendigheden af forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse, jf. artikel 40, og høre Den Europæiske Tilsynsførende for Databeskyttelse i tilfælde af tvivl om nødvendigheden af en sådan høring

g)at besvare anmodninger fra Den Europæiske Tilsynsførende for Databeskyttelse og inden for rammerne af sine beføjelser at samarbejde med og høre Den Europæiske Tilsynsførende for Databeskyttelse på dennes anmodning eller på eget initiativ.

2.Databeskyttelsesrådgiveren kan komme med anbefalinger til den dataansvarlige eller databehandleren om, hvordan databeskyttelsen kan forbedres i praksis, og rådgive dem om spørgsmål vedrørende anvendelsen af bestemmelserne om databeskyttelse. Desuden kan databeskyttelsesrådgiveren på eget initiativ eller efter anmodning fra den dataansvarlige eller databehandleren, det relevante personaleudvalg eller enhver fysisk person iværksætte undersøgelser om anliggender og forhold, der har direkte tilknytning til vedkommendes opgaver, og som kommer til vedkommendes kendskab, og aflægge rapport til den person, der har anmodet om undersøgelsen, eller til den dataansvarlige eller databehandleren.

3.Yderligere gennemførelsesbestemmelser vedrørende databeskyttelsesrådgiveren vedtages af hver EU-institution eller hvert EU-organ. Gennemførelsesbestemmelserne skal navnlig vedrøre databeskyttelsesrådgiverens hverv, opgaver og beføjelser.

KAPITEL V

Overførsler af personoplysninger til tredjelande eller internationale organisationer

Artikel 47

Generelt princip for overførsler

Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.

Artikel 48

Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1.En overførsel af personoplysninger fra et tredjeland eller en international organisation kan finde sted, når Kommissionen i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 har besluttet, at der er garanteret et passende beskyttelsesniveau i tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland eller i den internationale organisation, og at personoplysningerne kun overføres, for at der kan udføres opgaver, som henhører under den dataansvarliges kompetence.

2.Unionens institutioner og organer underretter Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse om tilfælde, hvor de finder, at det pågældende tredjeland eller den pågældende internationale organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i stk. 1.

3.Unionens institutioner og organer træffer de foranstaltninger, der er nødvendige for at efterkomme de afgørelser, som Kommissionen træffer, når den i medfør af artikel 45, stk. 3 og 5, i forordning (EU) 2016/679 konstaterer, at et tredjeland eller en international organisation sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

Artikel 49

Overførsler omfattet af fornødne garantier

1.Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, i forordning EU) 2016/679, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af, at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.

2.De fornødne garantier som omhandlet i stk. 1 kan uden krav om specifik godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse sikres gennem:

a)et retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer

b)standardbestemmelser om databeskyttelse vedtaget af Kommissionen efter undersøgelsesproceduren i artikel 70, stk. 2

c)standardbestemmelser om databeskyttelse vedtaget af Den Europæiske Tilsynsførende for Databeskyttelse og godkendt af Kommissionen efter undersøgelsesproceduren i artikel 70, stk. 2

d)bindende virksomhedsregler, adfærdskodekser og certificeringsmekanismer i henhold til artikel 46, stk. 2, litra b), e) og f), i forordning (EU) 2016/679, når databehandleren ikke er en EU-institution eller et EU-organ.

3.Med forbehold af godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse kan de fornødne garantier, der er omhandlet i stk. 1, også sikres gennem navnlig:

a)kontraktbestemmelser mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysninger i tredjelandet eller den internationale organisation eller

b)bestemmelser, der skal medtages i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter effektive rettigheder, som kan håndhæves, for registrerede.

4.Unionens institutioner og organer underretter Den Europæiske Tilsynsførende for Databeskyttelse om de kategorier af tilfælde, hvor denne artikel er blevet anvendt.

5.Godkendelser fra Den Europæiske Tilsynsførende for Databeskyttelse på grundlag af artikel 9, stk. 7, i forordning (EF) nr. 45/2001 er gyldige, indtil de om nødvendigt ændres, erstattes eller ophæves af Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 50

Overførsel eller videregivelse uden hjemmel i EU-retten

Enhver dom afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen, uden at dette berører andre grunde til overførsel i henhold til dette kapitel.

Artikel 51

Undtagelser i særlige situationer

1.I mangel af en afgørelse i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller fornødne garantier i henhold til artikel 49, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:

a)den registrerede har udtrykkeligt givet samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier

b)overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt

c)overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person

d)overførslen er nødvendig af hensyn til vigtige samfundsinteresser

e)overførslen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares eller

f)overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvis den registrerede ikke fysisk eller juridisk er i stand til at give samtykke eller

g)overførslen finder sted fra et register, der ifølge EU-retten er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, men kun i det omfang de ved EU-retten fastsatte betingelser for offentlig tilgængelighed er opfyldt i det konkrete tilfælde.

2.En overførsel i henhold til stk. 1, litra g), må ikke omfatte alle personoplysninger eller hele kategorier af personoplysninger i et register, medmindre det er tilladt ifølge EU-retten. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, må overførsel kun ske på anmodning af disse personer, eller hvis de skal være modtagerne.

3.De samfundsinteresser, der er omhandlet i stk. 1, litra d), skal være anerkendt i EU-retten.

4.I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet kan EU-retten af hensyn til vigtige samfundsinteresser udtrykkeligt fastsætte grænser for overførsel af særlige kategorier af personoplysninger til et tredjeland eller en international organisation.

5.Unionens institutioner og organer underretter Den Europæiske Tilsynsførende for Databeskyttelse om de kategorier af tilfælde, hvor denne artikel er blevet anvendt.

Artikel 52

Internationalt samarbejde om beskyttelse af personoplysninger

I forbindelse med tredjelande og internationale organisationer tager Den Europæiske Tilsynsførende for Databeskyttelse i samarbejde med Kommissionen og Det Europæiske Databeskyttelsesråd passende skridt til at:

a)udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lovgivningen om beskyttelse af personoplysninger

b)yde international gensidig bistand i forbindelse med håndhævelsen af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder

c)inddrage relevante interessenter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger

d)fremme udveksling af og dokumentation for lovgivning og praksis om beskyttelse af personoplysninger, herunder om kompetencekonflikter med tredjelande.

Kapitel VI

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

Artikel 53

Den Europæiske Tilsynsførende for Databeskyttelse

1.Den Europæiske Tilsynsførende for Databeskyttelse indføres herved.

2.Med hensyn til behandling af personoplysninger har Den Europæiske Tilsynsførende for Databeskyttelse til opgave at sikre, at Unionens institutioner og organer respekterer fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig retten til databeskyttelse.

3.Den Europæiske Tilsynsførende for Databeskyttelse har til opgave at føre tilsyn med og sikre anvendelsen af de bestemmelser i denne forordning og i enhver anden EU-retsakt, der vedrører beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger i en EU-institution eller et EU-organ, og at rådgive disse institutioner og organer samt de registrerede om alle spørgsmål vedrørende behandling af personoplysninger. Med henblik herpå udfører Den Europæiske Tilsynsførende for Databeskyttelse de opgaver, der er fastsat i artikel 58, og udøver de beføjelser, der er tillagt ham ved artikel 59.

Artikel 54

Udnævnelse af Den Europæiske Tilsynsførende for Databeskyttelse

1.Europa-Parlamentet og Rådet udnævner efter fælles aftale Den Europæiske Tilsynsførende for Databeskyttelse for en periode på fem år på grundlag af en liste, som Kommissionen opstiller efter et offentligt stillingsopslag. Stillingsopslaget skal give alle interesserede parter i hele Unionen mulighed for at indgive deres ansøgninger. Den liste over ansøgere, som Kommissionen udarbejder, er offentlig. På grundlag af den liste, som Kommissionen udarbejder, kan det kompetente udvalg i Europa-Parlamentet beslutte at afholde en høring, for at det kan tilkendegive en præference.

2.Den af Kommissionen udarbejdede liste, hvorfra Den Europæiske Tilsynsførende for Databeskyttelse skal udvælges, skal bestå af personer, hvis uafhængighed er uomtvistelig, og som er anerkendt som havende den erfaring og kompetence, der kræves for at varetage de opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse, f.eks. fordi de tilhører eller har tilhørt de tilsynsmyndigheder, der er oprettet ved artikel 41 i forordning (EU) 2016/679.

3.Embedsperioden for Den Europæiske Tilsynsførende for Databeskyttelse kan fornyes én gang.

4.De opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse, ophører i følgende tilfælde:

a)hvis Den Europæiske Tilsynsførende for Databeskyttelse udskiftes

b)hvis Den Europæiske Tilsynsførende for Databeskyttelse fratræder sin stilling

c)hvis Den Europæiske Tilsynsførende for Databeskyttelse afskediges eller går på pension.

5.Den Europæiske Tilsynsførende for Databeskyttelse kan af Den Europæiske Unions Domstol på begæring af Europa-Parlamentet, Rådet eller Kommissionen afskediges eller fratages sine pensionsrettigheder eller lignende goder, hvis vedkommende ikke længere opfylder de nødvendige betingelser for at udøve sit hverv, eller hvis vedkommende har begået alvorligt embedsmisbrug.

6.I tilfælde af ordinær nybesættelse og frivillig fratræden fortsætter Den Europæiske Tilsynsførende for Databeskyttelse imidlertid med at udøve sit hverv, indtil der er udnævnt en efterfølger.

7.Artikel 11-14 og artikel 17 i protokollen vedrørende Den Europæiske Unions privilegier og immuniteter finder anvendelse på Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 55

Statutten og de almindelige betingelser for udøvelse af hvervet som Europæisk Tilsynsførende for Databeskyttelse samt dennes personale og finansielle ressourcer

1.Den Europæiske Tilsynsførende for Databeskyttelse sidestilles med en dommer ved Den Europæiske Unions Domstol for så vidt angår fastsættelsen af vederlag, tillæg, alderspension og eventuelle andre goder end vederlag.

2.Budgetmyndigheden sørger for, at Den Europæiske Tilsynsførende for Databeskyttelse råder over de nødvendige menneskelige og finansielle ressourcer for at kunne udøve sit hverv.

3.Budgettet for Den Europæiske Tilsynsførende for Databeskyttelse vises i et separat udgiftsområde i sektion IX i Den Europæiske Unions almindelige budget.

4.Den Europæiske Tilsynsførende for Databeskyttelse bistås af et sekretariat. Tjenestemænd og øvrige ansatte i sekretariatet udnævnes af Den Europæiske Tilsynsførende for Databeskyttelse, og deres overordnede er Den Europæiske Tilsynsførende for Databeskyttelse. De er udelukkende underlagt dennes ledelse. Antallet af tjenestemænd og øvrige ansatte fastsættes hvert år som led i budgetproceduren.

5.For tjenestemænd og øvrige ansatte i sekretariatet for Den Europæiske Tilsynsførende for Databeskyttelse gælder de regler og bestemmelser, der gælder for tjenestemænd og øvrige ansatte i Den Europæiske Union.

6.Den Europæiske Tilsynsførende for Databeskyttelse har sit hjemsted i Bruxelles.

Artikel 56

Uafhængighed

1.Den Europæiske Tilsynsførende for Databeskyttelse udfører sine opgaver og udøver sine beføjelser i henhold til denne forordning i fuld uafhængighed.

2.Den Europæiske Tilsynsførende for Databeskyttelse skal i forbindelse med udførelsen af sine opgaver og udøvelsen af sine beføjelser i henhold til denne forordning være fri for udefrakommende indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser fra andre.

3.Den Europæiske Tilsynsførende for Databeskyttelse skal afholde sig fra enhver handling, der er uforenelig med karakteren af sit hverv, og må ikke, så længe vedkommendes embedsperiode varer, udøve nogen anden lønnet eller ulønnet beskæftigelse.

4.Den Europæiske Tilsynsførende for Databeskyttelse skal efter embedsperiodens ophør udvise hæderlighed og tilbageholdenhed med hensyn til at påtage sig visse hverv eller at acceptere visse fordele.

Artikel 57

Tavshedspligt

Den Europæiske Tilsynsførende for Databeskyttelse og dennes medarbejdere har såvel under som efter deres embedsperiode tavshedspligt for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv.

Artikel 58

Opgaver

1.Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal Den Europæiske Tilsynsførende for Databeskyttelse:

a)føre tilsyn med og håndhæve anvendelsen af denne forordning og andre EU-retsakter vedrørende beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i en EU-institution eller et EU-organ med undtagelse af Den Europæiske Unions Domstol, når den handler i sin egenskab af domstol

b)fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling. Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn

c)fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forordning

d)efter anmodning informere registrerede om udøvelsen af deres rettigheder i henhold til denne forordning og med henblik herpå samarbejde med tilsynsmyndighederne i medlemsstaterne, hvis det er relevant

e)behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 67, og, i det omfang det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

f)gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed

g)rådgive alle EU-institutioner og -organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysning

h)overvåge den relevante udvikling, i det omfang den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier

i)vedtage standardkontraktbestemmelser som omhandlet i artikel 29, stk. 8, og i artikel 49, stk. 2, litra c)

j)opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse vedrørende databeskyttelse i medfør af artikel 39, stk. 4

k)deltage i aktiviteterne i Det Europæiske Databeskyttelsesråd, der er oprettet ved artikel 68 i forordning (EU) 2016/679

l)fungere som sekretariat for Det Europæiske Databeskyttelsesråd i henhold til artikel 75 i forordning (EU) 2016/679

m)rådgive om behandling som omhandlet i artikel 40, stk. 2

n)godkende kontraktbestemmelser og bestemmelser som omhandlet i artikel 49, stk. 3

o)føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger, der er truffet i medfør af artikel 59, stk. 2

p)udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger og

q)vedtage sin forretningsorden.

2.Den Europæiske Tilsynsførende for Databeskyttelse letter indgivelse af klager, jf. stk. 1, litra e), gennem en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

3.Den Europæiske Tilsynsførende for Databeskyttelse varetager sine opgaver uden udgifter for den registrerede.

4.Hvis anmodninger er åbenbart grundløse eller overdrevne, især fordi de gentages, kan Den Europæiske Tilsynsførende for Databeskyttelse afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 59

Beføjelser

1.Den Europæiske Tilsynsførende for Databeskyttelse har følgende undersøgelsesbeføjelser. Vedkommende kan:

a)give den dataansvarlige og databehandleren påbud om at give alle oplysninger, der kræves for udførelsen af sine opgaver

b)foretage undersøgelser i form af databeskyttelsesrevisioner

c)underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning

d)fra den dataansvarlige eller databehandleren få adgang til alle personoplysninger og oplysninger, der er nødvendige for at varetage sine opgaver

e)få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsudstyr og -midler, i overensstemmelse med retsplejeregler i EU-retten eller i medlemsstaternes nationale ret.

2.Den Europæiske Tilsynsførende for Databeskyttelse har følgende sanktionsbeføjelser. Vedkommende kan:

a)udstede advarsler til en dataansvarlig eller en databehandler om, at de planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning

b)udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning

c)forelægge sagen for den dataansvarlige eller databehandleren og om nødvendigt for Europa-Parlamentet, Rådet og Kommissionen

d)give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning

e)give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

f)give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden

g)midlertidigt eller definitivt begrænse, herunder forbyde, behandling

h)give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 18, 19 og 20 og give meddelelse om sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 19, stk. 2, og artikel 21

i)pålægge en administrativ bøde i henhold til artikel 66 i tilfælde af EU-institutionens eller EU-organets manglende overholdelse af en af de foranstaltninger, der er omhandlet i dette stykke, og afhængigt af omstændighederne i hvert enkelt tilfælde

j)påbyde suspension af overførsel af oplysninger til en modtager i en medlemsstat, et tredjeland eller til en international organisation.

3.Den Europæiske Tilsynsførende for Databeskyttelse har følgende godkendelses- og rådgivningsbeføjelser. Vedkommende kan

a)rådgive de registrerede i forbindelse med udøvelsen af deres rettigheder

b)rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 40

c)på eget initiativ eller på anmodning afgive udtalelser til Unionens institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger

d)vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 29, stk. 8, og i artikel 49, stk. 2

e)godkende kontraktbestemmelser som omhandlet i artikel 49, stk. 3, litra a)

f)godkende administrative ordninger som omhandlet i artikel 49, stk. 3, litra b).

4.Udøvelsen af de beføjelser, der tillægges Den Europæiske Tilsynsførende for Databeskyttelse i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure som fastsat i EU-retten.

5.Den Europæiske Tilsynsførende for Databeskyttelse har beføjelse til at indbringe sager for Den Europæiske Unions Domstol på de betingelser, der er fastsat i traktaten, og til at intervenere i retssager ved Den Europæiske Unions Domstol.

Artikel 60

Årsberetning

1.Den Europæiske Tilsynsførende for Databeskyttelse forelægger hvert år en årsberetning for Europa-Parlamentet, Rådet og Kommissionen og offentliggør den samtidig hermed.

2.Den Europæiske Tilsynsførende for Databeskyttelse fremsender årsberetningen til de andre EU-institutioner og -organer, der kan fremsætte bemærkninger med henblik på en eventuel gennemgang af årsberetningen i Europa-Parlamentet.

KAPITEL VII

SAMARBEJDE OG SAMMENHÆNG

Artikel 61

Samarbejde med de nationale tilsynsmyndigheder

Den Europæiske Tilsynsførende for Databeskyttelse samarbejder med de tilsynsmyndigheder, der er oprettet ved artikel 41 i forordning (EU) 2016/679 og artikel 51 i direktiv (EU) 2016/680 (herefter "de nationale tilsynsmyndigheder"), og med Den Fælles Tilsynsmyndighed, der er oprettet ved artikel 25 i Rådets afgørelse 2009/917/RIA 21 , i det omfang, det er nødvendigt for udførelsen af deres respektive opgaver, navnlig ved at stille relevante oplysninger til rådighed for hinanden, anmode de nationale tilsynsmyndigheder om at udøve deres beføjelser eller besvare en henvendelse fra sådanne myndigheder.

Artikel 62

Koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder

1.Når der i en EU-retsakt henvises til denne artikel, samarbejder Den Europæiske Tilsynsførende for Databeskyttelse aktivt med de nationale tilsynsmyndigheder for at sikre effektivt tilsyn med store IT-systemer eller EU-agenturer.

2.Den Europæiske Tilsynsførende for Databeskyttelse udveksler inden for rammerne af sine respektive beføjelser og ansvarsområder relevante oplysninger, bistår med udførelsen af revisioner og inspektioner, undersøger vanskeligheder med fortolkningen eller anvendelsen af denne forordning og andre gældende EU-retsakter, undersøger problemer med udøvelsen af uafhængigt tilsyn og med udøvelsen af den registreredes rettigheder, udarbejder harmoniserede forslag til løsninger på eventuelle problemer og fremmer bevidstheden om registreredes rettigheder, om nødvendigt sammen med de nationale tilsynsmyndigheder.

3.For så vidt angår de formål, der er fastsat i stk. 2, mødes Den Europæiske Tilsynsførende for Databeskyttelse med de nationale tilsynsmyndigheder mindst to gange om året inden for rammerne af Det Europæiske Databeskyttelsesråd. Det Europæiske Databeskyttelsesråd afholder udgifterne i forbindelse med disse møder og varetager støttefunktionerne. Forretningsordenen vedtages på det første møde. De øvrige arbejdsmetoder udvikles i fællesskab efter behov.

4.Det Europæiske Databeskyttelsesråd fremsender en fælles rapport om aktiviteterne i forbindelse med koordineret tilsyn til Europa-Parlamentet, Rådet og Kommissionen hvert andet år.

KAPITEL VIII

RETSMIDLER, ANSVAR OG SANKTIONER

Artikel 63

Klageadgang til Den Europæiske Tilsynsførende for Databeskyttelse

1.Uden at det berører en eventuel administrativ, retslig eller udenretslig klageadgange, har enhver registreret ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse, hvis den registrerede finder, at behandlingen af personoplysninger om vedkommende overtræder denne forordning.

2.Den Europæiske Tilsynsførende for Databeskyttelse underretter den registrerede om behandlingen og resultatet af klagen, herunder muligheden for retsmidler som omhandlet i artikel 64.

3.Hvis Den Europæiske Tilsynsførende for Databeskyttelse ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage inden tre måneder, anses klagen for at være afvist.

Artikel 64

Ret til effektive retsmidler

Den Europæiske Unions Domstol har kompetence til at afgøre alle tvister vedrørende bestemmelserne i denne forordning, herunder erstatningssøgsmål.

Artikel 65

Ret til erstatning

Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade på de betingelser, der er fastsat i traktaterne.

Artikel 66

Administrative bøder

1.Den Europæiske Tilsynsførende for Databeskyttelse kan pålægge EU-institutioner og -organer administrative bøder afhængigt af omstændigheder i hvert enkelt tilfælde, når en EU-institution eller et EU-organ har undladt at efterkomme et påbud fra Den Europæiske Tilsynsførende for Databeskyttelse, jf. artikel 59, stk. 2, litra d)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt tilfælde, tages der behørigt hensyn til følgende:

a)overtrædelsens karakter, alvor og varighed under hensyntagen til den pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt

b)eventuelle foranstaltninger, der er truffet af EU-institutionen eller -organet for at begrænse den skade, som den registrerede har lidt

c)EU-institutionens eller -organets grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 27 og 33

d)eventuelle lignende overtrædelser, som EU-institutionen eller -organet tidligere har begået

e)graden af samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til

f)de kategorier af personoplysninger, der er berørt af overtrædelsen

g)den måde, hvorpå Den Europæiske Tilsynsførende for Databeskyttelse fik kendskab til overtrædelsen, navnlig om EU-institutionen eller -organet har givet underretning om overtrædelsen, og i givet fald i hvilket omfang

h)overholdelsen af de foranstaltninger, der er omhandlet i artikel 59, hvis der tidligere over for EU-institutionen eller -organet er blevet truffet sådanne foranstaltninger med hensyn til samme genstand.

De procedurer, der fører til pålæggelse af sådanne bøder, gennemføres inden for en rimelig tidshorisont afhængigt af sagens omstændigheder og under hensyntagen til de relevante foranstaltninger og procedurer, der er omhandlet i artikel 69.

2.Overtrædelser af EU-institutionens eller -organets forpligtelser som omhandlet i artikel 8, 12, 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 og 46 straffes i overensstemmelse med stk. 1 med bøder på op til 25 000 EUR pr. overtrædelse og op til 250 000 EUR pr. år.

3.EU-institutionens eller -organets overtrædelser af følgende bestemmelser straffes i overensstemmelse med stk. 1 med bøder på op til 50 000 EUR pr. overtrædelse og op til 500 000 EUR pr. år:

a)de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 4, 5, 7 og 10

b)de registreredes rettigheder i henhold til artikel 14-24

c)overførsler af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til artikel 47-51.

4.Hvis en EU-institution eller et EU-organ i forbindelse med de samme eller forbundne eller kontinuerlige behandlingsaktiviteter overtræder flere bestemmelser i denne forordning eller den samme bestemmelse i denne forordning flere gange, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

5.Inden der træffes afgørelse i henhold til denne artikel, giver Den Europæiske Tilsynsførende for Databeskyttelse den EU-institution eller det EU-organ, der er genstand for de procedurer, som gennemføres af den tilsynsførende, mulighed for at blive hørt om de spørgsmål, som den tilsynsførende har gjort indsigelse mod. Den Europæiske Tilsynsførende for Databeskyttelse baserer udelukkende sine afgørelser på indsigelser, som de berørte parter har haft mulighed for at fremsætte bemærkninger til. Klagerne inddrages i vid udstrækning i proceduren.

6.De deltagende parters ret til forsvar skal sikres fuldt ud i procedureforløbet. De har ret til aktindsigt i Den Europæiske Tilsynsførende for Databeskyttelses sagsakter med forbehold af fysiske personers eller virksomheders berettigede interesse i at beskytte deres personoplysninger eller forretningshemmeligheder.

7.Midler, der er indsamlet ved pålæggelse af bøder som omhandlet i denne artikel, tilfalder Den Europæiske Unions budget.

Artikel 67

Repræsentation af registrerede

Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med EU-retten eller en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 63, på sine vegne og til at udøve retten til at modtage erstatning som omhandlet i artikel 65 på sine vegne.

Artikel 68

Klager fra EU-ansatte

Enhver person, der er ansat af en EU-institution eller et EU-organ, kan uden om de officielle kanaler indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse vedrørende en påstået overtrædelse af bestemmelserne i denne forordning. Ingen må lide skade som følge af en klage, der er indgivet til Den Europæiske Tilsynsførende for Databeskyttelse vedrørende en sådan påstået overtrædelse.

Artikel 69

Sanktioner

Der kan iværksættes disciplinære sanktioner over for en tjenestemand eller en anden ansat i Den Europæiske Union, der forsætligt eller uagtsomt undlader at opfylde de forpligtelser, som er fastsat i denne forordning i overensstemmelse med de regler og procedurer, der er fastlagt i vedtægten for tjenestemænd i Den Europæiske Union eller i ansættelsesvilkårene for Unionens øvrige ansatte.

KAPITEL IX

GENNEMFØRELSESRETSAKTER

Artikel 70

Udvalgsprocedure

1.Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

KAPITEL X

AFSLUTTENDE BESTEMMELSER

Artikel 71

Ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF

Forordning (EF) nr. 45/2001 22 og afgørelse nr. 1247/2002/EF 23 ophæves herved med virkning fra den 25. maj 2018. Henvisninger til den ophævede forordning og den ophævede afgørelse betragtes som henvisninger til nærværende forordning.

Artikel 72

Overgangsforanstaltninger

1.Europa-Parlamentet og Rådets afgørelse 2014/886/EU 24 og Den Europæiske Tilsynsførende for Databeskyttelses og den assisterende tilsynsførendes indeværende embedsperiode berøres ikke af denne forordning.

2.Den assisterende tilsynsførende sidestilles med justitssekretæren for Den Europæiske Unions Domstol for så vidt angår fastsættelsen af vederlag, tillæg, alderspension og eventuelle andre goder end vederlag.

3.Artikel 54, stk. 4, 5 og 7, og artikel 56 og 57 i denne forordning finder anvendelse på den nuværende assisterende tilsynsførende indtil udløbet af dennes embedsperiode den 5. december 2019.

4.Den assisterende tilsynsførende bistår Den Europæiske Tilsynsførende for Databeskyttelse i forbindelse med alle dennes pligter og fungerer som stedfortræder, når Den Europæiske Tilsynsførende for Databeskyttelse er fraværende eller forhindret i at deltage i disse pligter.

Artikel 73

Ikrafttræden og anvendelse

1.Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2.Den finder anvendelse fra den 25. maj 2018.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den .

FINANSIERINGSOVERSIGT

1.FORSLAGETS/INITIATIVETS RAMME

1.1.Forslagets/initiativets betegnelse

1.2.Berørt(e) politikområde(r) inden for ABM/ABB-strukturen

1.3.Forslagets/initiativets art

1.4.Mål

1.5.Forslagets/initiativets begrundelse

1.6.Varighed og finansielle virkninger

1.7.Påtænkt(e) forvaltningsmetode(r)

2.FORVALTNINGSFORANSTALTNINGER

2.1.Bestemmelser om kontrol og rapportering

2.2.Forvaltnings- og kontrolsystem

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

3.1.Berørt(e) udgiftspost(er) på budgettet og udgiftsområde(r) i den flerårige finansielle ramme

3.2.Anslåede virkninger for udgifterne 

3.2.1.Sammenfatning af de anslåede virkninger for udgifterne

3.2.2.Anslåede virkninger for aktionsbevillingerne

3.2.3.Anslåede virkninger for administrationsbevillingerne

3.2.4.Forenelighed med indeværende flerårige finansielle ramme

3.2.5.Tredjeparters bidrag til finansieringen

3.3.Anslåede virkninger for indtægterne

FINANSIERINGSOVERSIGT

1.FORSLAGETS/INITIATIVETS RAMME

1.1.Forslagets/initiativets betegnelse

1.2.Berørt(e) politikområde(r) inden for ABM/ABB-strukturen 25  

1.3.Forslagets/initiativets art

◻ Forslaget/initiativet drejer sig om en ny foranstaltning 

◻ Forslaget/initiativet drejer sig om en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende foranstaltning 26  

–Forslaget/initiativet drejer sig om forlængelse af en eksisterende foranstaltning 

◻ Forslaget/initiativet drejer sig om omlægning af en foranstaltning til en ny foranstaltning 

1.4.Mål

1.4.1.Det eller de af Kommissionens flerårige strategiske mål, som forslaget/initiativet vedrører

1.4.2.Specifikke mål og berørte ABM/ABB-aktiviteter

1.4.3.Forventede resultater og virkninger

Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgruppen

1.4.4.Virknings- og resultatindikatorer

Angiv indikatorerne til kontrol af forslagets/initiativets gennemførelse.

1.5.Forslagets/initiativets begrundelse

1.5.1.Behov, der skal opfyldes på kort eller lang sigt

1.5.2.Merværdien ved en indsats fra EU's side

1.5.3.Erfaringer fra lignende foranstaltninger

1.5.4.Sammenhæng med andre relevante instrumenter og eventuel synergivirkning

1.6.Varighed og finansielle virkninger

◻ Forslag/initiativ af begrænset varighed

–◻    Forslag/initiativ gældende fra [DD/MM]ÅÅÅÅ til [DD/MM]ÅÅÅÅ

–◻    Finansielle virkninger fra ÅÅÅÅ til ÅÅÅÅ

Forslag/initiativ af ubegrænset varighed

Iværksættelse med en indkøringsperiode fra [2017] til den 25. maj 2018, derefter gennemførelse i fuldt omfang.

1.7.Påtænkt(e) forvaltningsmetode(r) 28  

Direkte forvaltning ved Kommissionen

–◻ i dens tjenestegrene, herunder ved dens personale i EU's delegationer

–◻    i dens gennemførelsesorganer

◻ Delt forvaltning i samarbejde med medlemsstaterne

◻Indirekte forvaltning ved at overlade budgetgennemførelsesopgaver til:

–◻ tredjelande eller organer, som tredjelande har udpeget

–◻ internationale organisationer og deres organer (angives nærmere)

–◻Den Europæiske Investeringsbank og Den Europæiske Investeringsfond

–◻ de organer, der er omhandlet i finansforordningens artikel 208 og 209

–◻ offentligretlige organer

–◻ privatretlige organer, der har fået overdraget samfundsopgaver, forudsat at de stiller tilstrækkelige finansielle garantier

–◻ privatretlige organer, undergivet lovgivningen i en medlemsstat, som har fået overdraget gennemførelsen af et offentlig-privat partnerskab, og som stiller tilstrækkelige finansielle garantier

–◻ personer, der har fået overdraget gennemførelsen af specifikke aktioner i den fælles udenrigs- og sikkerhedspolitik i henhold til afsnit V i traktaten om Den Europæiske Union, og som er udpeget i den relevante basisretsakt.

–Hvis der angives flere forvaltningsmetoder, gives der en nærmere forklaring i afsnittet "Bemærkninger".

Bemærkninger

2.FORVALTNINGSFORANSTALTNINGER

2.1.Bestemmelser om kontrol og rapportering

Angiv hyppighed og betingelser.

2.2.Forvaltnings- og kontrolsystem

2.2.1.Konstaterede risici

2.2.2.Oplysninger om det interne kontrolsystem

2.2.3.Anslåede omkostninger og fordele ved kontrollen samt forventet fejlrisiko

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder

Angiv eksisterende eller påtænkte forebyggelses- og beskyttelsesforanstaltninger.

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

3.1.Berørt(e) udgiftspost(er) på budgettet og udgiftsområde(r) i den flerårige finansielle ramme

Eksisterende udgiftsposter på budgettet

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

Nye budgetposter, som der er ansøgt om

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

3.2.Anslåede virkninger for udgifterne

Virkningerne af dette forslag for udgifterne er begrænset til udgifterne i Unionens institutioner og organer. Evalueringen af omkostninger i forbindelse med dette forslag viser dog, at det ikke skaber væsentlige merudgifter for Unionens institutioner og organer.

Med hensyn til de dataansvarlige i Unionens institutioner og organer viser evalueringsundersøgelsen af forordning (EF) nr. 45/2001, at deres databeskyttelsesomkostninger svarer til 70 årsværk, dvs. ca. 9,3 mio. EUR pr. år. Ca. 20 % af deres databeskyttelsesaktiviteter er på nuværende tidspunkt koncentreret om meddelelser om databehandling. Denne aktivitet er afskaffet i nærværende forordning, hvilket svarer til årlige besparelser på 1 922 mio. EUR til dataansvarlige i Unionens institutioner og organer. Disse besparelser forventes at blive opvejet af, at databehandlernes tid i højere grad vil blive brugt til at gennemføre de nye principper og koncepter, der indføres med denne forordning.

Nærmere bestemt pegede den undersøgelse, der blev gennemført som led i evalueringsundersøgelsen, på, at indførelsen af:

a) princippet om dataminimering ville få nogen eller kun ubetydelige virkninger for Unionens institutioner og organer

b) princippet om gennemsigtighed ikke få ville nogen eller kun ubetydelige virkninger for Unionens institutioner og organer

c) de øgede underretningsforpligtelser ville øge de dataansvarliges og databeskyttelsesrådgivernes arbejdsbyrde

d) retten til at blive glemt ikke ville få betydelige virkninger for Unionens institutioner og organer

e) princippet om dataportabilitet ikke ville få nogen eller kun ubetydelige virkninger for Unionens institutioner og organer

f) konsekvensanalyser vedrørende databeskyttelse kun ville få beskedne virkninger for de dataansvarliges og databeskyttelsesrådgivernes arbejdsbyrde, fordi nogle af Unionens institutioner og organer allerede udfører konsekvensanalyser vedrørende databeskyttelse, og de tilfælde, hvor det er nødvendigt at gennemføre sådanne konsekvensanalyser vedrørende databeskyttelse, er begrænsede

g) anmeldelser af brud på persondatasikkerheden ville øge databehandlernes arbejde, men sådanne brud er ikke ret hyppige

h) databeskyttelse gennem design og databeskyttelse gennem standardindstillinger allerede anvendes i flere af Unionens institutioner og organer.

Endvidere konkluderede den konsekvensanalyse, der blev gennemført inden vedtagelsen af forslaget om en databeskyttelsesreformpakke, at "indførelsen af databeskyttelse gennem design og databeskyttelse gennem standardindstillinger ikke ville medføre nogen administrativ arbejdsbyrde for hverken de offentlige myndigheder eller de dataansvarlige 32 ."

Med hensyn til databeskyttelsesrådgivere blev omkostningerne til det nuværende netværk af databeskyttelsesrådgivere og databeskyttelseskoordinatorer i Unionens institutioner og organer i evalueringsundersøgelsen anslået til 82,9 årsværk eller 10,9 mio. EUR pr. år. De bruger 26 % af deres databeskyttelsestid på aktiviteter, som er afskaffet i den foreliggende forordning, dvs. udarbejdelse af anmeldelser (i stedet for dataansvarlige), vurdering af de modtagne anmeldelser og føring af fortegnelser i registret og udførelse af forudgående kontrol. Dette fører til yderligere besparelser på 2 834 mio. EUR pr. år for Unionens institutioner og organer. Den nuværende forordning giver endvidere plads til eventuelle yderligere besparelser ved at tillade Unionens institutioner og organer at outsource databeskyttelseskoordinatorernes aktiviteter i stedet for at benytte deres eget personale.

Besparelserne på databeskyttelseskoordinatorernes aktiviteter vil blive opvejet af deres inddragelse i øgede underretningsforpligtelser, konsekvensanalyser vedrørende databeskyttelse (i de begrænsede tilfælde, hvor det vil være påkrævet) og forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse (hvis omfang vil blive langt mere begrænset end den nuværende forpligtelse til forudgående kontrol).

Det årlige budget for Den Europæiske Tilsynsførende for Databeskyttelse har været ret stabilt siden 2011 og ligger på omkring 8 mio. EUR. På nuværende tidspunkt har EDPS' tilsyns- og håndhævelsesenhed og politik- og høringsenhed et tilsvarende antal medarbejdere, som har været stabilt siden 2008. Det øgede fokus på den nuværende forordning og Den Europæiske Tilsynsførende for Databeskyttelses rolle vil blive opvejet af en mere målrettet rådgivningsrolle og fjernelsen af overlapning med Det Europæiske Databeskyttelsesråd. En omfordeling af personalet hos Den Europæiske Tilsynsførende for Databeskyttelse kan derfor gennemføres internt.

Dette forslag åbner mulighed for, at Den Europæiske Tilsynsførende for Databeskyttelse kan pålægge Unionens institutioner og organer administrative bøder. Hver EU-institution eller hvert EU-organ kan blive pålagt bøder på højst 250 000 EUR pr. år (25 000 EUR pr. overtrædelse) eller 500 000 EUR pr. år (50 000 EUR pr. overtrædelse) for de groveste overtrædelser af denne forordning. Sådanne bøder forventes kun at blive anvendt i meget alvorlige sager, og når EU-institutionen eller EU-organet ikke har respekteret Den Europæiske Tilsynsførende for Databeskyttelses udøvelse af sine sanktionsbeføjelser. Det forventes derfor, at de finansielle virkninger af sådanne bøder vil være begrænsede.

3.2.1.Sammenfatning af de anslåede virkninger for udgifterne

i mio. EUR (tre decimaler)

Hvis flere udgiftsområder påvirkes af forslaget/initiativet:

i mio. EUR (tre decimaler)

i mio. EUR (tre decimaler)

3.2.2.Anslåede virkninger for aktionsbevillingerne

Forslaget/initiativet medfører ikke anvendelse af aktionsbevillinger.

◻    Forslaget/initiativet medfører anvendelse af aktionsbevillinger som anført herunder:

Forpligtelsesbevillinger i mio. EUR (tre decimaler)

3.2.3.Anslåede virkninger for administrationsbevillingerne

3.2.3.1.Resumé

Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger

◻    Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

Bevillingerne til menneskelige ressourcer og andre administrationsudgifter vil blive dækket ved hjælp af de bevillinger, der i forvejen er afsat til generaldirektoratets forvaltning af aktionen, og/eller ved intern omfordeling i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

3.2.3.2.Anslået behov for menneskelige ressourcer

Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer.

◻    Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som anført herunder:

Overslag angives i årsværk

XX angiver det berørte politikområde eller budgetafsnit.

Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet allerede har afsat til aktionen, og/eller interne rokader i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

Opgavebeskrivelse:

3.2.4.Forenelighed med indeværende flerårige finansielle ramme

Forslaget/initiativet er foreneligt med indeværende flerårige finansielle ramme.

◻    Forslaget/initiativet kræver omlægning af det relevante udgiftsområde i den flerårige finansielle ramme.

◻    Forslaget/initiativet kræver, at fleksibilitetsinstrumentet anvendes, eller at den flerårige finansielle ramme revideres.

3.2.5.Tredjeparters bidrag til finansieringen

Forslaget/initiativet indeholder ikke bestemmelser om samfinansiering med tredjemand.

Forslaget/initiativet indeholder bestemmelser om samfinansiering, jf. følgende overslag:

Bevillinger i mio. EUR (tre decimaler)

3.3.Anslåede virkninger for indtægterne

Forslaget/initiativet har ingen finansielle virkninger for indtægterne.

◻    Forslaget/initiativet har følgende finansielle virkninger:

–◻    for egne indtægter

–◻    for diverse indtægter

i mio. EUR (tre decimaler)

For diverse indtægter, der er formålsbestemte, angives det, hvilke af budgettets udgiftsposter der påvirkes.

Det oplyses, hvilken metode der er benyttet til at beregne virkningerne for indtægterne.

(1) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001).

(2) Afgørelse nr. 1247/2002/EF af 1. juli 2002 om statutten og de almindelige betingelser for udøvelse af hvervet som Europæisk Tilsynsførende for Databeskyttelse (EFT L 183 af 12.7.2002, s. 1).

(3) Se forordning (EU) 2016/679, artikel 98 og betragtning 17.

(4) Se Domstolens dom af 9. marts 2010, Kommissionen mod Tyskland, sag C-518/07, ECLI:EU:C:2010:125, præmis 26 og 28.

(5) Se http://ec.europa.eu/justice/data-protection/reform/index_en.htm

(6) Se Den Europæiske Tilsynsførende for Databeskyttelses generelle rapport om "Measuring compliance with Regulation (EC) 45/2001 in EU institutions ("Survey 2013") (Måling af overholdelsen af forordning (EF) nr. 45/2001 (undersøgelse 2013)) og udtalelse nr. 3/2015 "Europe’s big opportunity: EDPS recommendations on the EU’s options for data protection reform" (Europas store chance: anbefalinger fra EDPS om EU's muligheder i forbindelse med databeskyttelsesreformen).

(7) JUST/2013/FRAC/FW/0157/A4 i forbindelse med den sammensatte rammekontrakt JUST/2011/EVAL/01 (RS 2013/05) – Evalueringsundersøgelse af forordning nr. (EF) 45/2001 foretaget af Ernst and Young, der findes på http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087

(8) Domstolens dom af 9. november 2010, Volker und Markus Schecke og Eifert, forenede sager C-92/09 og C-93/09 (ECLI:EU:C:2009:284, præmis 48).

(9) I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af retten til databeskyttelse, såfremt disse begrænsninger er fastlagt i lovgivningen og respekterer disse rettigheders og friheders væsentligste indhold, og såfremt de under iagttagelse af proportionalitetsprincippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

(10) EUT C […] af […], s. […].

(11) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(12) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EØS-relevant tekst) (EUT L 119 af 4.5.2016, s. 1).

(13) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(14) Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af 21.4.1993, s. 29).

(15) Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø ( EUT L 354 af 31.12.2008, s. 70 ).

(16) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(17) Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 af 11. marts 2009 om europæiske statistikker og om ophævelse af forordning (EF, Euratom) nr. 1101/2008 om fremsendelse af fortrolige statistiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor, Rådets forordning (EF) nr. 322/97 om EF-statistikker og Rådets afgørelse 89/382/EØF, Euratom om nedsættelse af et udvalg for De Europæiske Fællesskabers statistiske program ( EUT L 87 af 31.3.2009, s. 164 ).

(18) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EØS-relevant tekst) (EUT L 119 af 4.5.2016, s. 1).

(19) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(20) Kommissionens direktiv 2008/63/EF af 20. juni 2008 om konkurrence på markederne for teleterminaludstyr (EUT L 162 af 21.6.2008, s. 20).

(21) Rådets afgørelse 2009/917/RIA af 30. november 2009 om brug af informationsteknologi på toldområdet (EUT L 323 af 10.12.2009, s. 20).

(22) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001).

(23) Afgørelse nr. 1247/2002/EF af 1. juli 2002 om statutten og de almindelige betingelser for udøvelse af hvervet som Europæisk Tilsynsførende for Databeskyttelse (EFT L 183 af 12.7.2002, s. 1).

(24) Europa-Parlamentets og Rådets afgørelse 2014/886/EU af 4. december 2014 om udnævnelse af den europæiske tilsynsførende for databeskyttelse og den assisterende tilsynsførende (EUT L 351 af 9.12.2014, s. 9).

(25) ABM: aktivitetsbaseret ledelse ABB: aktivitetsbaseret budgetlægning.

(26) Jf. artikel 54, stk. 2, litra a) eller b), i finansforordningen.

(27) JUST/2013/FRAC/FW/0157/A4 i forbindelse med den sammensatte rammekontrakt JUST/2011/EVAL/01 (RS 2013/05) – Evalueringsundersøgelse af forordning nr. (EF) 45/2001 foretaget af Ernst and Young.

(28) Forklaringer vedrørende forvaltningsmetoder og henvisninger til finansforordningen findes på webstedet BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

(29) OB = opdelte bevillinger/IOB = ikke-opdelte bevillinger.

(30) EFTA: Den Europæiske Frihandelssammenslutning.

(31) Kandidatlande og, efter omstændighederne, potentielle kandidatlande på Vestbalkan.

(32) Arbejdsdokument fra Kommissionens tjenestegrene, Konsekvensanalyse (SEC(2012) 72 final, s. 110).

(33) År N er det år, hvor gennemførelsen af forslaget/initiativet begynder.

(34) Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.

(35) År N er det år, hvor gennemførelsen af forslaget/initiativet begynder.

(36) Resultater er de produkter og tjenesteydelser, der skal leveres (f.eks. antal finansierede studenterudvekslinger, antal km bygget vej osv.).

(37) Som beskrevet i afsnit 1.4.2. "Specifikke mål ...".

(38) År N er det år, hvor gennemførelsen af forslaget/initiativet begynder.

(39) Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.

(40) KA: kontraktansatte, LA: lokalt ansatte, UNE: udstationerede nationale eksperter, V: vikarer, JED: junioreksperter ved delegationerne.

(41) Delloft for eksternt personale under aktionsbevillingerne (tidligere BA-poster).

(42) Med hensyn til EU's traditionelle egne indtægter (told, sukkerafgifter) opgives beløbene netto, dvs. bruttobeløbene hvorfra opkrævningsomkostningerne på 25 % er fratrukket.